Nu kunne det måske se ud som at dette er en relativ ny artikel, hvis du kikker på datoen i højre øverste hjørne. Det er det ikke , det er en artikel fra januar 2004 (se de ældste kommentare) der er blevet rettet op med nye password længder så den lever op til nutidens krav
De fleste netværkssystemer baserer deres sikkerhed på kombinationen af password og brugernavne, hvor brugernavnet vælges af netværkets administrator og passwordet at brugeren. Hvilket password brugeren vælger, er af afgørende betydning for sikkerheden. Nedenstående råd bør følges, da de giver høj grad af sikkerhed og ikke koster penge.
Regel nummer 1: "Et password skal kunne huskes"
Følgende bør undgås:
1. Man må aldrig bruge brugernavnet eller dele heraf.
2. Man må aldrig bruge sit eget fulde navn eller dele heraf.
3. Man bør ikke bruge ord der står i en ordbog, slet ikke en engelsk ordbog.
4. Man bør ikke bruge navne eller numre, der kan forbindes med brugeren, f.eks. tlf. numre fødselsdage og børnenavne.
5. Man må ikke bruge logiske tastkombinationer f.eks. qwerty
6. Et password må aldrig skrives ned.
7. Man bør ikke bruge æ,ø, å, punktum, komma og tankestreg
8. korte passwords under 10 tegn
Forklaringen på at æ,ø og å ikke bør anvendes er egentlig relativ simpel og lige for. Hvis man arbejder i server miljøer, er operativsystemer altid engelsk, hvilket kan give problemer, især ved konverteringer til nyere versioner. Den vigtigste grund er at men ved nedbrud, nogle gange står med et system, der kun har engelsk tastatur. Hvis man så har brugt danske karaktere til f.eks. administrator kontorn, kan dette faktisk betyde, at man ikke kan logge på, og dermed ikke kan redde sin data. Det giver selvfølgelig et rigtigt sikkert system, men man får ikke ros når firmaet midster alt sin data eller skal have fat i en dyr løsning for at genskabe det.
Følgende bør vælges
1. passwordet bør være mindst 10 tegn langt men gerne 14 eller længere.
2. Et password bør indeholde både små og store bogstaver samt tal og specialtegn.
Sådan virker et passwordcracker værktøj.
Når du taster et password ind i Windows, bliver dette password konverteret til en såkaldt Hash Værdi (i virkeligheden er række bits, ofte 160, skrevet med hexadecimale tal, værdier fra 0 til F ).
En hash værdi er kendetegnet ved at to forskellige passwords ikke kan give den samme hash værdi og ved at du ikke kan regne baglæns og ud fra en hash værdi kan regne dig frem til passwordet.
Password cracker værktøjer kan med andre ord ikke regne sig frem til dit password, den kan kun prøve sig frem med forskellige passwords som den omsætter til hashværdier, som den derefter sammenligner med hash værdien fra dit password og hvis de to hash værdier er ens, vil passwordene også være det, hvilket betyder at dit password er cracket.
Passwordcrackerværktøjer fungere på den måde, at de fra starten indeholder en liste over hashværdier på de mest almindeligt brugte ord og tast kombinationer. Når værktøjet indlæser hash værdierne fra din maskine, vil det genkende alle de hash værdier, og deres tilhørende passwords, hvor brugeren har brugt et kendt ord eller tastekombination. Dette tager 0 sekunder, hvorfor sådanne passwords selvfølgelig er værdiløse, Se eksemplerne herunder).
Passwordcrackerværktøjer indeholder også en ordbog, der kan skiftes af hackeren. Som default indeholder de normalt en engelsk ordbog, men en dygtig hacker vil skifte denne ordbog med ordbøger specielt tilpasset til de forhold han forventer at møde. I danmark vil man således indlægge en dansk ordliste, en engelsk ordliste, en liste over danske pige og drenge navne, samt en liste med ord der høre til det firma/organisation man ønsker at angribe.
Ordene i ordlisterne omsættes til hash værdier, der sammenlignes med de indlæste værdier, og hver gang to ens findes er et password cracket. Hvis du synes dette lyder som en langvarig proces, så se eksemplerne herunder.
Den sidste metode der gennemføres, kombineres med ordliste og er således faktisk to metoder. Metoden kaldes Brute Force, og er en systematisk afprøvning af alle kombinationer af små bogstaver, små og store bogstaver, små, store bogstaver og tal, små, store bogstaver, tal og special tegn. Først brute forces i kombination med ordlisternes ord. D.v.s. kombinationer af bogstaver, tal, og tegn stilles foran og bagefter ord fra ordlisten hvorefter der forsøges med ren Brute Force.
Parewordcrackeværktøjet kan selvfølgelig konfigureres på et væld af måder. Du kan indstille hvor lange ord den skal forsøge med, om den skal forsøge med både store og små bogstaver, tal og tegn, og meget mere.
Eksempler på hvor hurtigt passwords kan cracker.
Nedenstående liste er lavet med cracke programmet L0phtCrack 4.0, og er selvfølgelig berbejdet, bl.a. er brugernavnene fjernet, og da listen fyldte 14 sider er kun udvalgte eksempler medtaget. L0phtCrack er ikke konfigureret, ordlisten er den medfølgende standard engelske ordliste, Computeren er en 533 Mhz pentium, der lavede andet mens den crackede. På en ny PC, med konfiguration og en dansk ordliste, vil man kunne dividere tiderne med en faktor 5.
"brugernavn" 0 sek
111111 0 sek Ordliste
123123 0 sek Ordliste
123456 0 sek Ordliste
654321 0 sek Ordliste
MICHELLE2 10 sek Hybrid
MUSTANG94 10 sek Hybrid
BRAVO7 22 sek Hybrid
BRIAN0405 22 sek Hybrid
DEXTER3 37 sek Hybrid
DIANA0105 37 sek Hybrid
COMMUNICATION3 1 min 20 sek Hybrid
POLAR1 1 min 20 sek Hybrid
MMMMMM 10 min 44 sek Brute Force
MANDAG 11 min 38 sek Brute Force
METALSTORM 46 min 51 sek Brute Force
KALTOFTIDA 49 min 27 sek Brute Force
SKOVBRYNET42 5 timer 41 min 34 sek Brute Force
TIGERDYR2 5 timer 43 min 56 sek Brute Force
O6VQ2U8O5LIQR6 12 timer 12 min 19 sek Brute Force
LONNI48 12 timer 19 min 13 sek Brute Force
Nu kunne du måske fristes til at tro at LONNI48 er et godt password, når det tager hele 12 timer og 20 minutter, men deter det ikke, et godt password bør tage mindst 3 måneder at cracke (da man, hvis man arbejder i et sikkert system, skifter password mindst hver 3. måned)
Hvordan laver du gode passwords der kan huskes:
Giv specialkarakterene navne og lav rebuser, se nedenstående eksempler:
"jeg bor i huset ved de 2 hvide norske havelåger" = jbihvd2hN#
"Andresine og hendes 3 nevøer Rip, Rap og Rup samt Anders" = &oh3nIAUsA
"hos Lonni og Frank finder du 3 hvide katte + Fido" = @LoFd3hk+F
"dykkeren Søren fandt 25 gamle Tyske søminer i havet" = dSf25gT€ih
