Tarpeeksi vahva salasana?

Hyvä linkki. Luen.

Aika selvää pässinlihaahan se on että mitä "laajempaa" merkistöä käyttää, sitä kompleksisempi salasanasta tulee.

Esim. jos nelinumeroinen salasana:
-käyttää vain numeroita 0-9 -> vaihtoehtoja vain 10^4 = 10000
-kun lisäksi merkistö a-z (pikkukirjaimet), vaihtoehtoja jo 36^4 eli 1679616
-kun sitten mukaan isot kirjaimet, vaihtoehtoja 62^4 eli 14776336
-mukaan 32 erikoismerkkiä, vaihtoehtoja jo 94^4 elikkä 78074896

Noh, kaikkihan tietävät että 4 merkkinen salasana on naurettavan pieni.. vertailuksi vaikkapa 12 merkkiset:
-pelkät numerot: 1000000000000 kpl
-numerot pikkukirjaimet: 4738381338321616896 kpl
-numerot isotjapienet: 3226266762397899821056 kpl
-ja lisäksi erikoismerkit: 475920314814253376475136 kpl

Pieni laskujuttu sitten, kauanko kestää että krakkeri käy bruteforcella kaikki mahdollisuudet läpi yrittäen vaikkapa 100000 kpl sekunnissa (keskimäärin se tärppää jo puolivälissä):
4 merkkiä / 12 merkkiä
0,1 sekuntia / alle 4kk
16 sekuntia / 1,5 miljoonaa vuotta
2 min 27 sek / miljardi vuotta
13 minuuttia / 150 miljardia vuotta

Tuo 100000 kpl on hatusta tempaistu luku, se voi olla enemmän tai se voi olla vähemmän. Tulevaisuudessa tuskin ainakaan vähemmän.. ja lisäksi tämä on vain bruteforce. Ei bruteforcella kukaan oikeasti mitään jaksa :) Helpompi on sitten yrittää kalastella niitä "sanakirja" sanoja tai käyttäen muita konsteja

Elikkä ei varmaan tarvitse olla 20 merkkiä ja älyttömän vahva salasana. Kunhan se ei ole joku sanakirjassa esiintyvä sana tai joku tuttavan nimi tai syntymäpäivä (facebookista saa noita kaivettua aika helposti esim). Krakkerit iskevät varmasti lähinnä niihin heikoimpiin tapauksiin.. kannattaa siinä kuitenkin valita mieluummin vähän liian vaikea kuin liian helppo salasana.

ps. nämä tuli hatusta, minä mistään oikeesti tiijä mittään.

tttertet kirjoitti:

Aika selvää pässinlihaahan se on että mitä "laajempaa" merkistöä käyttää, sitä kompleksisempi salasanasta tulee.

Esim. jos nelinumeroinen salasana:
-käyttää vain numeroita 0-9 -> vaihtoehtoja vain 10^4 = 10000
-kun lisäksi merkistö a-z (pikkukirjaimet), vaihtoehtoja jo 36^4 eli 1679616
-kun sitten mukaan isot kirjaimet, vaihtoehtoja 62^4 eli 14776336
-mukaan 32 erikoismerkkiä, vaihtoehtoja jo 94^4 elikkä 78074896

Noh, kaikkihan tietävät että 4 merkkinen salasana on naurettavan pieni.. vertailuksi vaikkapa 12 merkkiset:
-pelkät numerot: 1000000000000 kpl
-numerot pikkukirjaimet: 4738381338321616896 kpl
-numerot isotjapienet: 3226266762397899821056 kpl
-ja lisäksi erikoismerkit: 475920314814253376475136 kpl

Pieni laskujuttu sitten, kauanko kestää että krakkeri käy bruteforcella kaikki mahdollisuudet läpi yrittäen vaikkapa 100000 kpl sekunnissa (keskimäärin se tärppää jo puolivälissä):
4 merkkiä / 12 merkkiä
0,1 sekuntia / alle 4kk
16 sekuntia / 1,5 miljoonaa vuotta
2 min 27 sek / miljardi vuotta
13 minuuttia / 150 miljardia vuotta

Tuo 100000 kpl on hatusta tempaistu luku, se voi olla enemmän tai se voi olla vähemmän. Tulevaisuudessa tuskin ainakaan vähemmän.. ja lisäksi tämä on vain bruteforce. Ei bruteforcella kukaan oikeasti mitään jaksa :) Helpompi on sitten yrittää kalastella niitä "sanakirja" sanoja tai käyttäen muita konsteja

Elikkä ei varmaan tarvitse olla 20 merkkiä ja älyttömän vahva salasana. Kunhan se ei ole joku sanakirjassa esiintyvä sana tai joku tuttavan nimi tai syntymäpäivä (facebookista saa noita kaivettua aika helposti esim). Krakkerit iskevät varmasti lähinnä niihin heikoimpiin tapauksiin.. kannattaa siinä kuitenkin valita mieluummin vähän liian vaikea kuin liian helppo salasana.

ps. nämä tuli hatusta, minä mistään oikeesti tiijä mittään.

Lue lisää

No, eipä ollut hatullista paskaa.

Ihan hyvä neuvo olla syöttämättä sitä oikeaa salasanaa testiin, mutta pari juttua totean:
1:)En syöttele tuollaiseen sitä oikeaa salasanaa, vaan samankaltaisen.
2:) Mikkis lupaa tuolla sivulla, ettei salasanoja lähetetä heille, vaan salasana "testautuu" vain omalla koneella. Tuonhan voi tarkistaa seuraamalla likennettä modeemissa, että lähteekö jotain jonnekin vai ei. Itse en ole nähnyt että lähtisi. :)

11+12=23 kirjoitti:

Ihan hyvä neuvo olla syöttämättä sitä oikeaa salasanaa testiin, mutta pari juttua totean:
1:)En syöttele tuollaiseen sitä oikeaa salasanaa, vaan samankaltaisen.
2:) Mikkis lupaa tuolla sivulla, ettei salasanoja lähetetä heille, vaan salasana "testautuu" vain omalla koneella. Tuonhan voi tarkistaa seuraamalla likennettä modeemissa, että lähteekö jotain jonnekin vai ei. Itse en ole nähnyt että lähtisi. :)

Lue lisää

Jos oikea salasana on vaikka
54okju9ygt

Niin testaa sen syöttämällä

96ftja3nyv

Niin vahvuustestin tulos on sama, mutta itse salasana on eri.

tttertet kirjoitti:

Aika selvää pässinlihaahan se on että mitä "laajempaa" merkistöä käyttää, sitä kompleksisempi salasanasta tulee.

Esim. jos nelinumeroinen salasana:
-käyttää vain numeroita 0-9 -> vaihtoehtoja vain 10^4 = 10000
-kun lisäksi merkistö a-z (pikkukirjaimet), vaihtoehtoja jo 36^4 eli 1679616
-kun sitten mukaan isot kirjaimet, vaihtoehtoja 62^4 eli 14776336
-mukaan 32 erikoismerkkiä, vaihtoehtoja jo 94^4 elikkä 78074896

Noh, kaikkihan tietävät että 4 merkkinen salasana on naurettavan pieni.. vertailuksi vaikkapa 12 merkkiset:
-pelkät numerot: 1000000000000 kpl
-numerot pikkukirjaimet: 4738381338321616896 kpl
-numerot isotjapienet: 3226266762397899821056 kpl
-ja lisäksi erikoismerkit: 475920314814253376475136 kpl

Pieni laskujuttu sitten, kauanko kestää että krakkeri käy bruteforcella kaikki mahdollisuudet läpi yrittäen vaikkapa 100000 kpl sekunnissa (keskimäärin se tärppää jo puolivälissä):
4 merkkiä / 12 merkkiä
0,1 sekuntia / alle 4kk
16 sekuntia / 1,5 miljoonaa vuotta
2 min 27 sek / miljardi vuotta
13 minuuttia / 150 miljardia vuotta

Tuo 100000 kpl on hatusta tempaistu luku, se voi olla enemmän tai se voi olla vähemmän. Tulevaisuudessa tuskin ainakaan vähemmän.. ja lisäksi tämä on vain bruteforce. Ei bruteforcella kukaan oikeasti mitään jaksa :) Helpompi on sitten yrittää kalastella niitä "sanakirja" sanoja tai käyttäen muita konsteja

Elikkä ei varmaan tarvitse olla 20 merkkiä ja älyttömän vahva salasana. Kunhan se ei ole joku sanakirjassa esiintyvä sana tai joku tuttavan nimi tai syntymäpäivä (facebookista saa noita kaivettua aika helposti esim). Krakkerit iskevät varmasti lähinnä niihin heikoimpiin tapauksiin.. kannattaa siinä kuitenkin valita mieluummin vähän liian vaikea kuin liian helppo salasana.

ps. nämä tuli hatusta, minä mistään oikeesti tiijä mittään.

Lue lisää

Salasanoja harvoin puretaan pelkällä kokeilu metodilla. Helpompaa on kaapata salasanan tiiviste siis lukujono jonka se muodostaa ja siitä matemaattisella takaisinlaskennalla purkaa salana selkokieliseksi. Tähän liittyy myös että välttämättä 32 merkkinen salasana ei ole turvallisempi kuin esim 12 merkkinen, vaan voi olla jopa helpompi murtaa sen suuren tiivisteluvun perusteella, jolloin salausfunktio paljastuu!

a.aappina kirjoitti:

Salasanoja harvoin puretaan pelkällä kokeilu metodilla. Helpompaa on kaapata salasanan tiiviste siis lukujono jonka se muodostaa ja siitä matemaattisella takaisinlaskennalla purkaa salana selkokieliseksi. Tähän liittyy myös että välttämättä 32 merkkinen salasana ei ole turvallisempi kuin esim 12 merkkinen, vaan voi olla jopa helpompi murtaa sen suuren tiivisteluvun perusteella, jolloin salausfunktio paljastuu!

Lue lisää

Unohdat että tiivisteen laskeminen on yksisuuntainen operaatio. Äärettömän monta salasanaa antaa saman tiivisteen ja toisin päin kuljettaessa yksi tiiviste antaa äärettömän monta salasanaa.

JVz5C kirjoitti:

Unohdat että tiivisteen laskeminen on yksisuuntainen operaatio. Äärettömän monta salasanaa antaa saman tiivisteen ja toisin päin kuljettaessa yksi tiiviste antaa äärettömän monta salasanaa.

Lue lisää

Voitko matemaattisesti osoittaa 100 % että tiivisteen laskeminen on yksisuuntainen operaatio?

tttertet kirjoitti:

Aika selvää pässinlihaahan se on että mitä "laajempaa" merkistöä käyttää, sitä kompleksisempi salasanasta tulee.

Esim. jos nelinumeroinen salasana:
-käyttää vain numeroita 0-9 -> vaihtoehtoja vain 10^4 = 10000
-kun lisäksi merkistö a-z (pikkukirjaimet), vaihtoehtoja jo 36^4 eli 1679616
-kun sitten mukaan isot kirjaimet, vaihtoehtoja 62^4 eli 14776336
-mukaan 32 erikoismerkkiä, vaihtoehtoja jo 94^4 elikkä 78074896

Noh, kaikkihan tietävät että 4 merkkinen salasana on naurettavan pieni.. vertailuksi vaikkapa 12 merkkiset:
-pelkät numerot: 1000000000000 kpl
-numerot pikkukirjaimet: 4738381338321616896 kpl
-numerot isotjapienet: 3226266762397899821056 kpl
-ja lisäksi erikoismerkit: 475920314814253376475136 kpl

Pieni laskujuttu sitten, kauanko kestää että krakkeri käy bruteforcella kaikki mahdollisuudet läpi yrittäen vaikkapa 100000 kpl sekunnissa (keskimäärin se tärppää jo puolivälissä):
4 merkkiä / 12 merkkiä
0,1 sekuntia / alle 4kk
16 sekuntia / 1,5 miljoonaa vuotta
2 min 27 sek / miljardi vuotta
13 minuuttia / 150 miljardia vuotta

Tuo 100000 kpl on hatusta tempaistu luku, se voi olla enemmän tai se voi olla vähemmän. Tulevaisuudessa tuskin ainakaan vähemmän.. ja lisäksi tämä on vain bruteforce. Ei bruteforcella kukaan oikeasti mitään jaksa :) Helpompi on sitten yrittää kalastella niitä "sanakirja" sanoja tai käyttäen muita konsteja

Elikkä ei varmaan tarvitse olla 20 merkkiä ja älyttömän vahva salasana. Kunhan se ei ole joku sanakirjassa esiintyvä sana tai joku tuttavan nimi tai syntymäpäivä (facebookista saa noita kaivettua aika helposti esim). Krakkerit iskevät varmasti lähinnä niihin heikoimpiin tapauksiin.. kannattaa siinä kuitenkin valita mieluummin vähän liian vaikea kuin liian helppo salasana.

ps. nämä tuli hatusta, minä mistään oikeesti tiijä mittään.

Lue lisää

Rainbow tables eli sateenkaaritaulukot ovat voineet murtaa niitä tiivistetunnisteita jo vuosia. Kyse on vain siitä kuinka hyvin nämä jo murretut taulukot voidaan indeksoida. Tukimusteni mukaan erittäin nopeasti.

??????????????????? kirjoitti:

Voitko matemaattisesti osoittaa 100 % että tiivisteen laskeminen on yksisuuntainen operaatio?

Matematiikkaan en ole sekaantunut enää vuosikymmeniin. Todistukset, vastaväitteet ja purkuyritykset saat etsiä itse alan kirjallisuudesta.

Tiivistealgoritmien valinnan perustana on juuri tämä yksisuuntaisuus. Täydellinen varmuuden osoittaminen on usein erittäin vaikeaa. Mitä enemmän asiaa tutkitaan heikkouksien löytämiseksi, sitä turvallisempana menetelmää voidaan pitää.

f.e.dzerzhinsky kirjoitti:

Jos oikea salasana on vaikka
54okju9ygt

Niin testaa sen syöttämällä

96ftja3nyv

Niin vahvuustestin tulos on sama, mutta itse salasana on eri.

Lue lisää

f.e.dzerzhinsky:

Sä voit tunkee teoriasi sinne mistä nikkisi on peräisin.

Salasana esim . "Paska" siis erittäin vahva

Kuvitteelisesti nyt.

ohjelma muutaa sen esim numeroiksi, tietyn valitun salausavaintyypin mukaan.
siis Paska = 84 22 34 67 22
Näin saadaan luku esim 842.2346722

Josta esim voidaan ottaa neliöjuuri tai muu suure
ja salasanaan valitaa tarpeellinen määrä numeroita esim 23 desimaalista lähtien

siittä sitten purkamaan kun kaikki on nollia!

Miten aiot muuttaa tiedoston alkuperäiseksi, jos sen kaikki merkit on vaihdettu yhdeksi merkiksi?

City-Kani kirjoitti:

Salasana esim . "Paska" siis erittäin vahva

Kuvitteelisesti nyt.

ohjelma muutaa sen esim numeroiksi, tietyn valitun salausavaintyypin mukaan.
siis Paska = 84 22 34 67 22
Näin saadaan luku esim 842.2346722

Josta esim voidaan ottaa neliöjuuri tai muu suure
ja salasanaan valitaa tarpeellinen määrä numeroita esim 23 desimaalista lähtien

siittä sitten purkamaan kun kaikki on nollia!

Lue lisää

Sanakirjasta löytyvä salasana on aina erittäin heikko.

Usein puhutaan salasanasta vaikka parempi olisi puhua salalauseesta "Yökk!! kui pien kikkeli," on jo paljon parempi ja tuollaisen pystyy muistamaan paremmin kuin "2iJxkjpiTv0wGjUpdL0m".