Uppfattningar om s.k säkra lösenord.

Efter en liten debatt med en kolega är jag lite fundersam över den allmänna uppfattningen om vad ett säkert lösen ord skulle vara. personligen så anser jag
att ett lösen ord på 4 bokstäver även om man blandar siffror och bokstäver är
lite i klenare laget.

mitt förslag låg på 8 bokstäver med 3 "special tecken" 3 siffror och 4 bokstäver.
Vilket förkastades som "jobbigt" i konversationen.

Men till fråga då...vad är eran allmänna bild av ett säkert lösenord.



Om någon har länkar till sidor som behandlar ämnet motages även dessa varmt.

http://www.uic.edu/depts/accc/accts/password.html

mitt minimumsäkra policy är minst 10 bokstäver.

mitt mediumsäkra lösenordspolicy är minst 12 tecken långt, med bokstäver och siffror i kombination, som ej formar något lätt att gissa (dvs det ska vara till synes slumpmässigt.

mitt hårda lösenord (till kritiska saker osv) är minst 17 tecken långt, med bokstäver, siffror och specialtecken i kombination.

mitt minne har lätt för att komma ihåg nummer, kombinationer och hexsträngar, tyvärr har det svårt för att komma ihåg något annat =)

edit: en sak till. med siffror menar jag inte två siffror i början eller slutet, utan spridda i lösenordet.

Öppna en valfri texteditor och tryck med handflatan på tangentbordet samtidigt som du petar på shift lite då och då... Sen markerad en en sträng på ca 8-10 tecken...


Mycket bra sätt...
Har man dåligt minne så kam na ta två ord, ett på svenska och ett på svesnka, felstava dom och blanda med versaler och gemener..
Räcker ju ganska långt för typ mindre viktiga saker.. hotmail osv

EDIT: fyra tecken är på tok för lite... Även som pin på telefonen..

Ett säkert lösenord för mig ska vara ett påhittat ord, kanske blandat med ett riktigt (för kommihågen) plus ett par siffror och något specialtecken. (Nu vet ni hur mitt lösenord till FB ser ut... )
Specialtecken är mycket effektivt för att göra ett lösenord säkrare. Det kan räcka med ex, #, % & el. dyl så har du villat bort de flesta attacker.


Rent teoretiskt så är det där ett ganska dåligt sätt att skapa lösenord.
lmMjLN;Cv Njm <-- mitt genererade lösen.
Det lösenordet är osäkrare än ex.; fab5korv*gUbBe

Detta eftersom om jag ska bruteforca ditt lösenord och jag känner till ditt tillvägagångssätt så kan jag plocka bort de statistiskt sett minst förekommande bokstäverna
Ex. jag kan dra slutsatsen att a/A q/Q 1/! §/½ z/Z troligtvis inte är med, ej heller ' * " ^ ~ ' ` 0 = ¡ @ £ $ ? ¥ { [ ] } \ etc.
Plockar jag bort dem ur lexikonet så får jag långt färre möjliga lösenord.
Ett annat sätt kanske skulle vara att jag själv skapar ex. 50-100 sådana lösenord, lägger upp en frekvenstabell och sedan skapar mitt lexikon efter den.

Det bästa lösenordet är helt klart ett HELT slumpmässigt genererat lösenord. Inklusive siffror, specialtecken + gemener/versaler blandning (beroende på applikation).
Nackdelen är då självklart att det blir svårt att komma ihåg.

Visste ni förresten att sådana lösenord knäcks oftare än egenknåpade?
Detta eftersom svårigheten att komma ihåg det gör att många skriver ner det. Antingen som en post-it i lådan eller som en textfil i datorn, öppen för alla i närheten att granska.

En knep som jag hörde en gång (följer det inte själv) är att tänka på en mening, t ex en låttitel, eller "jag är en lustig blomfluga en yster sommardag" - typ.

Sedan tar man första bokstaven i varje ord.
(Eller andra eller sista - bara man är konsekvent)

Då får man ett omöjligt lösenord som är lätt att komma ihåg:

Exemplet: jäelbeys

Sen kan man ju ersätta vissa ord med siffror.

Exemplet: jä1lb1ys

--------

På en del företag har man dessa regler:
Minst x tecken, där x ofta är 6,7,8
Minst en versal (stor bokstav)
Minst en gemen (liten bokstav)
Minst en siffra

Detta leder oftast till att lösenordet har första bokstaven stor, resten små och sen slutar med ett löpnummer, som ökas med ett vid varje lösenordsbyte.

vilken fråga.. allt e som sagt upp till dig... vad har du som behöver säkras och vart går gränsen för att det blir svårt att hantera
finns "säkra" företag som tycker att det räcker med 6 bokstäver (komplexy)
de har endå bara 3 försök innan det spärras...
svårt att bruteforca sånt
kolla lite i typ gpedit.msc så ser du vad som går att ställa in i standard under security.
iaf om du har win...

Använd tecken som inte används av cracking program som tex. Alt+129 = ü eller Alt+2512 = ð. Flera tecken finns i programmet Teckenuppsättning. Använder du ett NT baserad OS (XP,2000 eller NT4) så kan du förstärka ditt lösenord genom att inte använda LM-Hash lagring och bytta det till NTLM. Ändringen görs genom: "Kör" secpol.msc, Lokala Principer, Säkerhetsalternativ, och leta upp Nätverkssäkerhet: Lagra inte Lan Manager-hash...... och sätt den till aktiverad och sen byt lösenord.

Undrar varför inte någon har nämt detta förut.

No.21... bra inlägg... helt rätt