Tarpeeksi vahva salasana?

11+12=23

Microsoftin sivuilta löytyy "testiväline" salasanan vahvuuden kokeilemiseen:
https://www.microsoft.com/protect/fraud/passwords/checker.aspx?WT.mc_id=Site_Link

Salasanan pitäisi olla ainakin 14 merkkiä pitkä. Jos siis käytän jossain palveluun kirjautumisessa salasanaa, joka on 14 merkkiä pitkä, ja käytän isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä täysin sattumanvaraisessa järjestyksessä, kuinka kova työ on murtaa tuo käyttämällä raakaa voimaa kahdessa eri tapauksessa:

1: Osaava yksityishenkilö ja hyvin tehokas oma tietokone, jonka komponentit löytyvät jokaisesta tietokonekaupasta. Olkoon prossuna vaikka tehokkain Intelin neliytiminen (tai kaksiytiminen, jos se on tässä tapauksessa nopeampi) ja muistia niin paljon kuin on mahdollista ja hyödyllistä käyttää.

2: Joku suurempi toimija, jolla on käytössään supertietokone ja osaamista.

Vielä esimerkki salasanasta millaista tarkoitan:
5J/%4nr9vÖ6s#E

Ja kuinka paljon vahvemmaksi tuo tulisi, jos siihen lisäisi yhden merkin? Tekeekö yhden merkin lisääminen tällaisesta salasanasta vain hiukan vai selvästi vahvemman?

20

1179

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
      • 11+12=23

        Hyvä linkki. Luen.

    • fffuuuufff

      Pakko nyt lisätä tähän että älkää nyt hyvät ihmiset ikinä, koskaan missään tapauksessa, syöttäkö niitä salasanoja jonnekin webbisivuille (edes tarkistaaksenne niiden vahvuutta). Käyttäkää niitä vain ja ainoastaan siinä tilanteessa kun kirjaudutte niillä jonnekin mihin kirjauduttekin.

      En nyt sano että mikkisofta kalastelisi tunnuksia, tai sillä olisi pyrkimyksenä tehdä ns. reverse hash lookup tietokantoja, mutta sellaisiakin on jotka niin tekevät. Eli kun syötät vaikka salasanasi tarkistaaksesi sen vahvuuden tai että onko se tunnettujen vuotaneiden salasanojen joukossa, se voi hyvinkin päätyä tällaiselle listalle.

      Kuitenkin varma on varmaa ja kannattaa syöttää jotain muuta kuin oikeaa salasana tuohon mikkisoftan systeemiin, nähdäksesi microsoftin näkemyksen siitä, millainen on vahva salasana :)

      • tttertet

        Aika selvää pässinlihaahan se on että mitä "laajempaa" merkistöä käyttää, sitä kompleksisempi salasanasta tulee.

        Esim. jos nelinumeroinen salasana:
        -käyttää vain numeroita 0-9 -> vaihtoehtoja vain 10^4 = 10000
        -kun lisäksi merkistö a-z (pikkukirjaimet), vaihtoehtoja jo 36^4 eli 1679616
        -kun sitten mukaan isot kirjaimet, vaihtoehtoja 62^4 eli 14776336
        -mukaan 32 erikoismerkkiä, vaihtoehtoja jo 94^4 elikkä 78074896

        Noh, kaikkihan tietävät että 4 merkkinen salasana on naurettavan pieni.. vertailuksi vaikkapa 12 merkkiset:
        -pelkät numerot: 1000000000000 kpl
        -numerot pikkukirjaimet: 4738381338321616896 kpl
        -numerot isotjapienet: 3226266762397899821056 kpl
        -ja lisäksi erikoismerkit: 475920314814253376475136 kpl

        Pieni laskujuttu sitten, kauanko kestää että krakkeri käy bruteforcella kaikki mahdollisuudet läpi yrittäen vaikkapa 100000 kpl sekunnissa (keskimäärin se tärppää jo puolivälissä):
        4 merkkiä / 12 merkkiä
        0,1 sekuntia / alle 4kk
        16 sekuntia / 1,5 miljoonaa vuotta
        2 min 27 sek / miljardi vuotta
        13 minuuttia / 150 miljardia vuotta

        Tuo 100000 kpl on hatusta tempaistu luku, se voi olla enemmän tai se voi olla vähemmän. Tulevaisuudessa tuskin ainakaan vähemmän.. ja lisäksi tämä on vain bruteforce. Ei bruteforcella kukaan oikeasti mitään jaksa :) Helpompi on sitten yrittää kalastella niitä "sanakirja" sanoja tai käyttäen muita konsteja

        Elikkä ei varmaan tarvitse olla 20 merkkiä ja älyttömän vahva salasana. Kunhan se ei ole joku sanakirjassa esiintyvä sana tai joku tuttavan nimi tai syntymäpäivä (facebookista saa noita kaivettua aika helposti esim). Krakkerit iskevät varmasti lähinnä niihin heikoimpiin tapauksiin.. kannattaa siinä kuitenkin valita mieluummin vähän liian vaikea kuin liian helppo salasana.

        ps. nämä tuli hatusta, minä mistään oikeesti tiijä mittään.

      • suuntaa
        tttertet kirjoitti:

        Aika selvää pässinlihaahan se on että mitä "laajempaa" merkistöä käyttää, sitä kompleksisempi salasanasta tulee.

        Esim. jos nelinumeroinen salasana:
        -käyttää vain numeroita 0-9 -> vaihtoehtoja vain 10^4 = 10000
        -kun lisäksi merkistö a-z (pikkukirjaimet), vaihtoehtoja jo 36^4 eli 1679616
        -kun sitten mukaan isot kirjaimet, vaihtoehtoja 62^4 eli 14776336
        -mukaan 32 erikoismerkkiä, vaihtoehtoja jo 94^4 elikkä 78074896

        Noh, kaikkihan tietävät että 4 merkkinen salasana on naurettavan pieni.. vertailuksi vaikkapa 12 merkkiset:
        -pelkät numerot: 1000000000000 kpl
        -numerot pikkukirjaimet: 4738381338321616896 kpl
        -numerot isotjapienet: 3226266762397899821056 kpl
        -ja lisäksi erikoismerkit: 475920314814253376475136 kpl

        Pieni laskujuttu sitten, kauanko kestää että krakkeri käy bruteforcella kaikki mahdollisuudet läpi yrittäen vaikkapa 100000 kpl sekunnissa (keskimäärin se tärppää jo puolivälissä):
        4 merkkiä / 12 merkkiä
        0,1 sekuntia / alle 4kk
        16 sekuntia / 1,5 miljoonaa vuotta
        2 min 27 sek / miljardi vuotta
        13 minuuttia / 150 miljardia vuotta

        Tuo 100000 kpl on hatusta tempaistu luku, se voi olla enemmän tai se voi olla vähemmän. Tulevaisuudessa tuskin ainakaan vähemmän.. ja lisäksi tämä on vain bruteforce. Ei bruteforcella kukaan oikeasti mitään jaksa :) Helpompi on sitten yrittää kalastella niitä "sanakirja" sanoja tai käyttäen muita konsteja

        Elikkä ei varmaan tarvitse olla 20 merkkiä ja älyttömän vahva salasana. Kunhan se ei ole joku sanakirjassa esiintyvä sana tai joku tuttavan nimi tai syntymäpäivä (facebookista saa noita kaivettua aika helposti esim). Krakkerit iskevät varmasti lähinnä niihin heikoimpiin tapauksiin.. kannattaa siinä kuitenkin valita mieluummin vähän liian vaikea kuin liian helppo salasana.

        ps. nämä tuli hatusta, minä mistään oikeesti tiijä mittään.

        No, eipä ollut hatullista paskaa.

      • 11+12=23

        Ihan hyvä neuvo olla syöttämättä sitä oikeaa salasanaa testiin, mutta pari juttua totean:
        1:)En syöttele tuollaiseen sitä oikeaa salasanaa, vaan samankaltaisen.
        2:) Mikkis lupaa tuolla sivulla, ettei salasanoja lähetetä heille, vaan salasana "testautuu" vain omalla koneella. Tuonhan voi tarkistaa seuraamalla likennettä modeemissa, että lähteekö jotain jonnekin vai ei. Itse en ole nähnyt että lähtisi. :)

      • f.e.dzerzhinsky
        11+12=23 kirjoitti:

        Ihan hyvä neuvo olla syöttämättä sitä oikeaa salasanaa testiin, mutta pari juttua totean:
        1:)En syöttele tuollaiseen sitä oikeaa salasanaa, vaan samankaltaisen.
        2:) Mikkis lupaa tuolla sivulla, ettei salasanoja lähetetä heille, vaan salasana "testautuu" vain omalla koneella. Tuonhan voi tarkistaa seuraamalla likennettä modeemissa, että lähteekö jotain jonnekin vai ei. Itse en ole nähnyt että lähtisi. :)

        Jos oikea salasana on vaikka
        54okju9ygt

        Niin testaa sen syöttämällä

        96ftja3nyv

        Niin vahvuustestin tulos on sama, mutta itse salasana on eri.

      • a.aappina
        tttertet kirjoitti:

        Aika selvää pässinlihaahan se on että mitä "laajempaa" merkistöä käyttää, sitä kompleksisempi salasanasta tulee.

        Esim. jos nelinumeroinen salasana:
        -käyttää vain numeroita 0-9 -> vaihtoehtoja vain 10^4 = 10000
        -kun lisäksi merkistö a-z (pikkukirjaimet), vaihtoehtoja jo 36^4 eli 1679616
        -kun sitten mukaan isot kirjaimet, vaihtoehtoja 62^4 eli 14776336
        -mukaan 32 erikoismerkkiä, vaihtoehtoja jo 94^4 elikkä 78074896

        Noh, kaikkihan tietävät että 4 merkkinen salasana on naurettavan pieni.. vertailuksi vaikkapa 12 merkkiset:
        -pelkät numerot: 1000000000000 kpl
        -numerot pikkukirjaimet: 4738381338321616896 kpl
        -numerot isotjapienet: 3226266762397899821056 kpl
        -ja lisäksi erikoismerkit: 475920314814253376475136 kpl

        Pieni laskujuttu sitten, kauanko kestää että krakkeri käy bruteforcella kaikki mahdollisuudet läpi yrittäen vaikkapa 100000 kpl sekunnissa (keskimäärin se tärppää jo puolivälissä):
        4 merkkiä / 12 merkkiä
        0,1 sekuntia / alle 4kk
        16 sekuntia / 1,5 miljoonaa vuotta
        2 min 27 sek / miljardi vuotta
        13 minuuttia / 150 miljardia vuotta

        Tuo 100000 kpl on hatusta tempaistu luku, se voi olla enemmän tai se voi olla vähemmän. Tulevaisuudessa tuskin ainakaan vähemmän.. ja lisäksi tämä on vain bruteforce. Ei bruteforcella kukaan oikeasti mitään jaksa :) Helpompi on sitten yrittää kalastella niitä "sanakirja" sanoja tai käyttäen muita konsteja

        Elikkä ei varmaan tarvitse olla 20 merkkiä ja älyttömän vahva salasana. Kunhan se ei ole joku sanakirjassa esiintyvä sana tai joku tuttavan nimi tai syntymäpäivä (facebookista saa noita kaivettua aika helposti esim). Krakkerit iskevät varmasti lähinnä niihin heikoimpiin tapauksiin.. kannattaa siinä kuitenkin valita mieluummin vähän liian vaikea kuin liian helppo salasana.

        ps. nämä tuli hatusta, minä mistään oikeesti tiijä mittään.

        Salasanoja harvoin puretaan pelkällä kokeilu metodilla. Helpompaa on kaapata salasanan tiiviste siis lukujono jonka se muodostaa ja siitä matemaattisella takaisinlaskennalla purkaa salana selkokieliseksi. Tähän liittyy myös että välttämättä 32 merkkinen salasana ei ole turvallisempi kuin esim 12 merkkinen, vaan voi olla jopa helpompi murtaa sen suuren tiivisteluvun perusteella, jolloin salausfunktio paljastuu!

      • JVz5C
        a.aappina kirjoitti:

        Salasanoja harvoin puretaan pelkällä kokeilu metodilla. Helpompaa on kaapata salasanan tiiviste siis lukujono jonka se muodostaa ja siitä matemaattisella takaisinlaskennalla purkaa salana selkokieliseksi. Tähän liittyy myös että välttämättä 32 merkkinen salasana ei ole turvallisempi kuin esim 12 merkkinen, vaan voi olla jopa helpompi murtaa sen suuren tiivisteluvun perusteella, jolloin salausfunktio paljastuu!

        Unohdat että tiivisteen laskeminen on yksisuuntainen operaatio. Äärettömän monta salasanaa antaa saman tiivisteen ja toisin päin kuljettaessa yksi tiiviste antaa äärettömän monta salasanaa.

      • ???????????????????
        JVz5C kirjoitti:

        Unohdat että tiivisteen laskeminen on yksisuuntainen operaatio. Äärettömän monta salasanaa antaa saman tiivisteen ja toisin päin kuljettaessa yksi tiiviste antaa äärettömän monta salasanaa.

        Voitko matemaattisesti osoittaa 100 % että tiivisteen laskeminen on yksisuuntainen operaatio?

      • xxmmaa
        tttertet kirjoitti:

        Aika selvää pässinlihaahan se on että mitä "laajempaa" merkistöä käyttää, sitä kompleksisempi salasanasta tulee.

        Esim. jos nelinumeroinen salasana:
        -käyttää vain numeroita 0-9 -> vaihtoehtoja vain 10^4 = 10000
        -kun lisäksi merkistö a-z (pikkukirjaimet), vaihtoehtoja jo 36^4 eli 1679616
        -kun sitten mukaan isot kirjaimet, vaihtoehtoja 62^4 eli 14776336
        -mukaan 32 erikoismerkkiä, vaihtoehtoja jo 94^4 elikkä 78074896

        Noh, kaikkihan tietävät että 4 merkkinen salasana on naurettavan pieni.. vertailuksi vaikkapa 12 merkkiset:
        -pelkät numerot: 1000000000000 kpl
        -numerot pikkukirjaimet: 4738381338321616896 kpl
        -numerot isotjapienet: 3226266762397899821056 kpl
        -ja lisäksi erikoismerkit: 475920314814253376475136 kpl

        Pieni laskujuttu sitten, kauanko kestää että krakkeri käy bruteforcella kaikki mahdollisuudet läpi yrittäen vaikkapa 100000 kpl sekunnissa (keskimäärin se tärppää jo puolivälissä):
        4 merkkiä / 12 merkkiä
        0,1 sekuntia / alle 4kk
        16 sekuntia / 1,5 miljoonaa vuotta
        2 min 27 sek / miljardi vuotta
        13 minuuttia / 150 miljardia vuotta

        Tuo 100000 kpl on hatusta tempaistu luku, se voi olla enemmän tai se voi olla vähemmän. Tulevaisuudessa tuskin ainakaan vähemmän.. ja lisäksi tämä on vain bruteforce. Ei bruteforcella kukaan oikeasti mitään jaksa :) Helpompi on sitten yrittää kalastella niitä "sanakirja" sanoja tai käyttäen muita konsteja

        Elikkä ei varmaan tarvitse olla 20 merkkiä ja älyttömän vahva salasana. Kunhan se ei ole joku sanakirjassa esiintyvä sana tai joku tuttavan nimi tai syntymäpäivä (facebookista saa noita kaivettua aika helposti esim). Krakkerit iskevät varmasti lähinnä niihin heikoimpiin tapauksiin.. kannattaa siinä kuitenkin valita mieluummin vähän liian vaikea kuin liian helppo salasana.

        ps. nämä tuli hatusta, minä mistään oikeesti tiijä mittään.

        Rainbow tables eli sateenkaaritaulukot ovat voineet murtaa niitä tiivistetunnisteita jo vuosia. Kyse on vain siitä kuinka hyvin nämä jo murretut taulukot voidaan indeksoida. Tukimusteni mukaan erittäin nopeasti.

      • JVz5C
        ??????????????????? kirjoitti:

        Voitko matemaattisesti osoittaa 100 % että tiivisteen laskeminen on yksisuuntainen operaatio?

        Matematiikkaan en ole sekaantunut enää vuosikymmeniin. Todistukset, vastaväitteet ja purkuyritykset saat etsiä itse alan kirjallisuudesta.

        Tiivistealgoritmien valinnan perustana on juuri tämä yksisuuntaisuus. Täydellinen varmuuden osoittaminen on usein erittäin vaikeaa. Mitä enemmän asiaa tutkitaan heikkouksien löytämiseksi, sitä turvallisempana menetelmää voidaan pitää.

      • kusipää.#
        f.e.dzerzhinsky kirjoitti:

        Jos oikea salasana on vaikka
        54okju9ygt

        Niin testaa sen syöttämällä

        96ftja3nyv

        Niin vahvuustestin tulos on sama, mutta itse salasana on eri.

        f.e.dzerzhinsky:

        Sä voit tunkee teoriasi sinne mistä nikkisi on peräisin.

    • City-Kani

      heh heh..

      Jos halutaan suojata tiedosto ajatetaan se ohjelman läpi joka korvaa aivaimmen perustella siittä aina jonkun kirjainmmen esim nollalla!
      tämä ohjelma luupaa toimintoa kunnes kaikki on nollia!

      Vaihka olisi kuinka helvetin moinen superkone on nollasta turha yritttää repiä mitään ilman salausavainta joka sisältää oikean siällön!

      • City-Kani

        Salasana esim . "Paska" siis erittäin vahva

        Kuvitteelisesti nyt.

        ohjelma muutaa sen esim numeroiksi, tietyn valitun salausavaintyypin mukaan.
        siis Paska = 84 22 34 67 22
        Näin saadaan luku esim 842.2346722

        Josta esim voidaan ottaa neliöjuuri tai muu suure
        ja salasanaan valitaa tarpeellinen määrä numeroita esim 23 desimaalista lähtien

        siittä sitten purkamaan kun kaikki on nollia!

      • JVz5C

        Miten aiot muuttaa tiedoston alkuperäiseksi, jos sen kaikki merkit on vaihdettu yhdeksi merkiksi?

      • JVz5C
        City-Kani kirjoitti:

        Salasana esim . "Paska" siis erittäin vahva

        Kuvitteelisesti nyt.

        ohjelma muutaa sen esim numeroiksi, tietyn valitun salausavaintyypin mukaan.
        siis Paska = 84 22 34 67 22
        Näin saadaan luku esim 842.2346722

        Josta esim voidaan ottaa neliöjuuri tai muu suure
        ja salasanaan valitaa tarpeellinen määrä numeroita esim 23 desimaalista lähtien

        siittä sitten purkamaan kun kaikki on nollia!

        Sanakirjasta löytyvä salasana on aina erittäin heikko.

    • penis1946

      Salasanana PENIS ei oikein toimi, tietokone kertoo näin: salasana liian lyhyt, sitä ei vaan kannata kertoa tyttöystävälle. mutta asiaan. Vahvat salasanat on lähes mahdottomia muistaa, ja lappujen liimailu vie pohjan koko salasanalta.

      • JVz5C

        Usein puhutaan salasanasta vaikka parempi olisi puhua salalauseesta "Yökk!! kui pien kikkeli," on jo paljon parempi ja tuollaisen pystyy muistamaan paremmin kuin "2iJxkjpiTv0wGjUpdL0m".

    • Anonyymi

      Aloitus koe vahva salasana hoitaja Pyhäjärvi kävelee väkivallan puhelinta miten määrittää salasanat kun aina välein menee.
      Väkivalta vain lisääntyy ulosotto mitään ei ymmärretä laskut, ne jotka ovat esimerkiksi ADHD mahdollista

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Jos ottaisit yhteyttä, näyttäisin viestin kaikille

      Yhdessä naurettaisiin sulle. Ymmärräthän tämän?
      Ikävä
      163
      1423

    2. Heikki Silvennoinen ( Kummeli)

      Kuollut 70-vuotiaana. Kiitos Heikille hauskoista hetkistä. Joskus olen hymyillyt kyynelten läpi. Sellaista se elämä on
      Kotimaiset julkkisjuorut
      49
      1215

    3. Aivosyöpää sairastava Olga Temonen TV:ssä - Viimeinen Perjantai-keskusteluohjelma ulos

      Näyttelijä-yrittäjä Olga Temonen sairastaa neljännen asteen glioomaa eli aivosyöpää, jota ei ole mahdollista leikata. Hä
      Maailman menoa
      24
      1179

    4. Mikä saa ihmisen tekemään tällaista?

      Onko se huomatuksi tulemisen tarve tosiaan niin iso tarve, että nuoruuttaan ja tietämättömyyttään pilataan loppuelämä?
      Sinkut
      211
      1100

    5. Mitä toivot

      ensi vuodelta? :)
      Ikävä
      126
      1061

    6. Hyvää huomenta 18. luukku

      Hyvää keskiviikkoa. Vielä pari päivää ja sitten on talvipäivänseisokki. 🎄🌌❄️😊❤️
      Ikävä
      223
      984

    7. Kauanko valitatte yöpäivystyksestä?

      Miks tosta Oulaisten yöpäivystyksen lopettamisesta tuli nii kova myrsky? Kai kaikki sen ymmärtää että raha on nyt tiuk
      Pyhäjärvi
      315
      981

    8. Haluaisin vain varmistua

      Sinusta tarpeeksi.
      Ikävä
      42
      929

    9. Olet sä silti

      Ihana ❤️ tykkään
      Ikävä
      72
      895

    10. Minkä merkkisellä

      Autolla kaivattusi ajaa? Mies jota kaipaan ajaa Mersulla.
      Ikävä
      73
      889
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt