---

SdLkKnHeDsDhFhPoEpSb

eller

SDLKKNHEDSdhfhpoepsb

og hvorfor ?

--
Magnus

---

"Magnus Pedersen" <mgpeder@hotmail.com> writes:

> SdLkKnHeDsDhFhPoEpSb
>
> eller
>
> SDLKKNHEDSdhfhpoepsb
>
> og hvorfor ?

Hvad mener du *helt præcist* med "sikrest"? Hvis du svarer på det,
så skal jeg nok svare på spørgsmålet :)

Se også http://a.area51.dk/sikkerhed/indledning#bedste (selvom den ikke
helt matcher, så er "sikkerhed" også relativt).

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgment merely degrades the spirit divine.'

---

"Lasse Reichstein Nielsen" <lrn@infimum.dk> wrote in message
news:1yd4rrse.fsf@infimum.dk...
> "Magnus Pedersen" <mgpeder@hotmail.com> writes:
>
> > SdLkKnHeDsDhFhPoEpSb
> >
> > eller
> >
> > SDLKKNHEDSdhfhpoepsb
> >
> > og hvorfor ?
>
> Hvad mener du *helt præcist* med "sikrest"? Hvis du svarer på det,
> så skal jeg nok svare på spørgsmålet :)
>

F.eks. overfor et brute-force angreb på en krypteret fil ?

--
Magnus

---

Magnus Pedersen wrote:

> F.eks. overfor et brute-force angreb på en krypteret fil ?


Afhængig af hvordan brute-force angrebet søger sine kombinationer.

Kan du evt referere til et program?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
message news:3CC7DE84.2020309@example.net...
> > F.eks. overfor et brute-force angreb på en krypteret fil ?
>
> Afhængig af hvordan brute-force angrebet søger sine kombinationer.

Det var det jeg tænkte.

> Kan du evt referere til et program?

Nej, jeg har ingen erfaring med den slags. Men jeg havde en teori om
det helt afhang af den algoritme angrebs-programmet bruger.

--
Magnus

---

Magnus Pedersen wrote:

> Nej, jeg har ingen erfaring med den slags. Men jeg havde en teori om
> det helt afhang af den algoritme angrebs-programmet bruger.


Ja.

Men hvis algoritmen går på at vælge en tilfældig kombination (hvilket
selvfølgelig ikke er effektivt) kan vi ikke udtale os om hvilken
kombination den vil finde først.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
message news:3CC7E560.6050107@example.net...
>
> > Nej, jeg har ingen erfaring med den slags. Men jeg havde en teori om
> > det helt afhang af den algoritme angrebs-programmet bruger.
>
>
> Ja.
>
> Men hvis algoritmen går på at vælge en tilfældig kombination (hvilket
> selvfølgelig ikke er effektivt) kan vi ikke udtale os om hvilken
> kombination den vil finde først.

Ok, tak for hjælpen.

--
Magnus

---

Magnus Pedersen wrote:
> SdLkKnHeDsDhFhPoEpSb
>
> eller
>
> SDLKKNHEDSdhfhpoepsb


De er lige usikre nu du har offentliggjort dem.

--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic

---

> SdLkKnHeDsDhFhPoEpSb
> eller
> SDLKKNHEDSdhfhpoepsb
>

Selvom de andre svar i tråden gir nogle gode årsager til at der ikke kan
svares dirakte på spørgsmålet, vil jeg dog alligvel komme med et skøn.
Jeg vil mene at efter de mest "almindelige" brute force algoritmer, er det
første mere "sikkert" end det andet.


> og hvorfor ?

Simpelthen fordi det første er hver andet bogstav stort og i det andet er
det den første halvdel der er og den sidste er med småt.
Dette giver en større chance for at det ville blive fundet først, da de mest
gængse brute force algoritmer jeg er kendt med vil først prøve fx. alle
bogstaver enten kapitæler eller ikke og så der efter det modsatte, hvor
efter den vil prøve fx med alle små og det første med stort og så alle med
små men de første to chars med stort osv.

Men det er osse rigtigt at dette svar faktisk ikke kan bruges til noget da
det jo ikke er sikkert at en cracker ville benytte sig af en sådan
algoritme.
Håber alligevel du ku bruge det til et eller andet.

Mvh
Thomas

---

"merlin" <merlin@merlin.sprex.dk> wrote in message
news:3cc7f765$0$97297$edfadb0f@dspool01.news.tele.dk...
>
> Simpelthen fordi det første er hver andet bogstav stort og i det andet
er
> det den første halvdel der er og den sidste er med småt.
> Dette giver en større chance for at det ville blive fundet først, da
de mest
> gængse brute force algoritmer jeg er kendt med vil først prøve fx.
alle
> bogstaver enten kapitæler eller ikke og så der efter det modsatte,
hvor
> efter den vil prøve fx med alle små og det første med stort og så alle
med
> små men de første to chars med stort osv.
>
> Men det er osse rigtigt at dette svar faktisk ikke kan bruges til
noget da
> det jo ikke er sikkert at en cracker ville benytte sig af en sådan
> algoritme.
> Håber alligevel du ku bruge det til et eller andet.

Tak skal du have.

--
Magnus

---

Magnus Pedersen wrote:
>
> SdLkKnHeDsDhFhPoEpSb
>
> eller
>
> SDLKKNHEDSdhfhpoepsb
>
> og hvorfor ?

I stedet for at vise os de to passwords så fortæl
os hvordan de er genereret.

Jeg kan se, at de to passwords er ens bortset fra
store/små bogstaver. Men hvordan har du valgt
bogstaverne?

Hvis bogstaverne er valgt tilfældigt fra
alfabetets 26 bogstaver (A-Z) vil jeg mene at
begge passwords er rigeligt sikre (94 bits
sikkerhed) uanset hvordan du vælger store og små
bogstaver.

Valget af store/små bogstaver kan højst tilføre
20 bits ekstra sikkerhed. (Hvis det også vælges
tilfældigt.)

Selvfølgelig er begge nu usikre fordi de er
blevet offentliggjort på en nyhedsgruppe.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3CC80B31.FDFEF748@daimi.au.dk...
>
> I stedet for at vise os de to passwords så fortæl
> os hvordan de er genereret.
> Jeg kan se, at de to passwords er ens bortset fra
> store/små bogstaver. Men hvordan har du valgt
> bogstaverne?

Det er forbogstaverne fra de to første linier i : Se den lille
kattekilling.
Et kompromis mellem tilfældighed og noget der kan huskes uden at
skulle skrives ned

> Hvis bogstaverne er valgt tilfældigt fra
> alfabetets 26 bogstaver (A-Z) vil jeg mene at
> begge passwords er rigeligt sikre (94 bits
> sikkerhed) uanset hvordan du vælger store og små
> bogstaver.
>
> Valget af store/små bogstaver kan højst tilføre
> 20 bits ekstra sikkerhed. (Hvis det også vælges
> tilfældigt.)

Ok.

> Selvfølgelig er begge nu usikre fordi de er
> blevet offentliggjort på en nyhedsgruppe.

Jep, det var også kun et eksempel mhp hvordan man laver
blandingen af store og små bogstaver.

--
Magnus

---

Magnus Pedersen <mgpeder@hotmail.com> wrote:
> Et kompromis mellem tilfældighed og noget der kan huskes uden at
> skulle skrives ned

Problemet bestaar faktisk ikke i at skrive passwords ned, mere i hvordan
dette stykke papir behandles bagefter.

Jeg hader passwords og gider ikke huske paa dem. Desvaerre kan jeg ikke
altid undgaa at bruge passwords, f.eks. til GameSpy naar jeg vil spille
Operation Flashpoint paa nettet eller handle hos Amazon. Disse trivelle
passwords skriver jeg gerne ned saa min hjerne er fri til at huske de
vigtige (bank, pin kode, etc).

For at stjaele disse passwords skal man taet nok paa mig til at jeg kan
begynde at slaa.

Jeg har et mental note om at dette emne skal daekkes i OSS'en.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> writes:

> Jeg hader passwords og gider ikke huske paa dem. Desvaerre kan jeg ikke
> altid undgaa at bruge passwords, f.eks. til GameSpy naar jeg vil spille
> Operation Flashpoint paa nettet eller handle hos Amazon. Disse trivelle
> passwords skriver jeg gerne ned saa min hjerne er fri til at huske de
> vigtige (bank, pin kode, etc).
>
> For at stjaele disse passwords skal man taet nok paa mig til at jeg kan
> begynde at slaa.
>
> Jeg har et mental note om at dette emne skal daekkes i OSS'en.

Måske skulle du hellere skrive det sidste ned og så bruge din hjerne til at
lagre dine passwords? (Undskyld kunne bare ikke lade være ;))

--
Med venlig hilsen / Regards
- Jacob Atzen

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrnacg71q.2ucq.a@C-Tower.Area51.DK...

>
> For at stjaele disse passwords skal man taet nok paa mig til at jeg
kan
> begynde at slaa.
>
> Jeg har et mental note om at dette emne skal daekkes i OSS'en.
>

Vi er vel tilbage til det med at al ens kryptering ikke er en hat værd
når der står en stor dum behåret fyr med en kølle og beder en om
at taste passwordet ind inden han basker ens kranie ind

--
Magnus

---

Magnus Pedersen wrote:

> Vi er vel tilbage til det med at al ens kryptering ikke er en hat
> værd når der står en stor dum behåret fyr med en kølle og beder en
> om at taste passwordet ind inden han basker ens kranie ind

Hvis jeg kender Alex ret, så taster han et _andet_ password, der både
logger ham ind i en restricted shell og tilkalder vagterne[1]..


[1]: Dem der med sorte sparkedragter og skimasker.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

---

On Thu, 25 Apr 2002 22:02:29 +0200, "Magnus Pedersen"
<mgpeder@hotmail.com> wrote:

> Vi er vel tilbage til det med at al ens kryptering ikke er en hat værd
> når der står en stor dum behåret fyr med en kølle og beder en om
> at taste passwordet ind inden han basker ens kranie ind

Derfor har man i nogle systemer automatisk alarmmelding, der
sætter ind, hvis man taster et bestemt password. Man kan jo blive
nervøs og komme til at taste forkert, når der står sådan en fyr.

-A
--
http://www.hojmark.org/

---

On Thu, 25 Apr 2002 16:51:25 +0200, "Magnus Pedersen"
<mgpeder@hotmail.com> wrote:

> Et kompromis mellem tilfældighed og noget der kan huskes uden at
> skulle skrives ned

One-time passwords?

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
> On Thu, 25 Apr 2002 16:51:25 +0200, "Magnus Pedersen"
><mgpeder@hotmail.com> wrote:
>
>> Et kompromis mellem tilfældighed og noget der kan huskes uden at
>> skulle skrives ned
>
> One-time passwords?

S/Key er rart, men brugeren skal vaere opmaerksom paa, at S/Key *kan*
brute forces, saa det gaelde om at vaelge en *god* secret, helst en hash
sum af noget output fra et af /dev/?random devices, eller hvis man
virkeligt ikke har andet:

$ (ps auxw; top; w) | sha1
58e7c2609b55c765e76d7c5ec3c7e68298644bcb

Dejlig secret som ingen har en chance for at huske.

Jeg har set eksempler paa folk der brugte secrets paa 2 eller 3 tegn
fordi det var bekvemt at taste ind i deres Palm Pilot generator.

Tving i stedet brugeren til at slaebe rundt paa en liste med S/Key
passwords hun passer godt paa. Hvis det ikke er nok, saa tving hende til
at validere med et S/Key password *og* et almindeligt, godt system
password.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Magnus Pedersen" <mgpeder@hotmail.com> wrote:

>Det er forbogstaverne fra de to første linier i : Se den lille
>kattekilling.

Med den metode bør du nok holde dig fra tekster med sammensatte
navneord, hvis du ikke er helt stiv i, hvordan de deles.

Du skriver - helt korrekt - kattekilling i eet ord ovenfor, men
skriver "kk" i dit password. Surt, hvis du pludselig ikke kan
logge ind, når du om en måned taster passwordet og nøjes med eet
"k" for "kattekilling" i stedet for "kk" for "katte killing".


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

On Thu, 25 Apr 2002 12:09:39 +0200, Magnus Pedersen <mgpeder@hotmail.com> wrote:
> SdLkKnHeDsDhFhPoEpSb
>
> eller
>
> SDLKKNHEDSdhfhpoepsb
>
> og hvorfor ?

Mit bud:

Du har samme størrelse alphabet og samme længde. De er som passwords
lige gode.

--
Jesper -