Testdata - Lösenordsmönster: Att förebygga svaga lösenord

Tre stycken engelskspr˚akiga databasdumpar används för att utforska de fr˚ age-ställningar som beaktas. Samtliga dataset är av liknande omfattning, omkring tiotusen användarlösenord. En fördel i omfattningen hos dessa dataset är att de

¨ar av en storlek som hamnar inom ramarna f¨or detta arbete.

Var en av dessa härstammar fr˚an internetapplikationer med ett specifikt användingsomr˚ade. Den första av dessa, Spel-databasen, kommer fr˚an ett dis-kussionsforum för tv- och dataspel. Den andra är ett diskussionsforum för hälsa och motion. Den tredje, och sista, är fr˚an en bokaffär med inriktning p˚a mi-litärhistoria.

Det innebär att eventuella avvikelser i relation till mängden information ger en godtagbar chans att upptäckas. Den tid det tar för data att bearbetas h˚alls ocks˚a ner. Ett motargument vore att i en större datamängd, s˚a hade eventuella

avvikelser bleknat i relation till datam¨angdens omfattning.

Säkerhetspolicyn för dessa dataset är av liknande karaktär: Minst tre tecken, inga krav p˚a specialtecken, versaler eller gemener. En fördel med detta är att användare ges frihet att använda lösenord de tycker passar. Det har gjorts stu-dier som visar att en strikt lösenordspolicy inte nödvändigtvis höjer säkerheten hos autentiseringen. Eventuellt ligger en av nackdelarna dock inte nödvändigtvis i valet, utan begränsningens omfattning. Detta d˚a en användares val av lösenord vid mer strikt lösenordspolicy inte nödvändigtvis täcks upp av denna testdata.

5 Resultat

Nedan ˚aterfinns resultat och utdata fr˚an de olika experiment som genomförts för att utforska problemställningen.

5.1 L¨ osenordsrymd

Tabell 4 visar hur lösenordslängdens storlek p˚averkar lösenordsrymd, det vill säga antalet möjliga lösenord. Antalet möjliga lösenord blir snart enormt. Anta-let blir s˚a stort att det blir sv˚art att presentera p˚a ett tydligt sätt. I Tabell 4 be-skrivs därför inte enbart antalet möjliga lösenord. Tabellen visar även hur m˚anga siffror som respektive lösenordsrymdens storlek best˚ar av, dvs 10-logaritmen av lösenordsrymdens storlek avrundat till närmaste mindre heltal:

log₁₀(L) där L är lösenordsrymden.

I Figur 1 illustreras hur lösenordsrymdens storlek p˚averkas av lösenordslängden.

Eftersom summorna snabbt blir s˚a stora att de är sv˚ara att hantera utg˚ar grafen ifr˚an antalet siffror som respektive lösenordsrymdens storlek best˚ar av, det vill säga 10-logaritmen av lösenordsrymdens storlek avrundat till närmaste mindre heltal.

L¨ osenords-l¨angd

Alfabet Antalet m¨ojliga l¨osenord (L) log₁₀ (L)

10 V,G,S 211392282015721 * 10⁴ 18

10 V,G,S,Sp 11046221254112 * 10⁷ 20

12 S 10¹² 12

12 V,G,S 977477912040694 * 10⁷ 22

12 V,G,S,Sp 112682503013197 * 10¹⁰ 24

14 S 10¹⁴ 14

14 V,G,S 451985786527617 * 10¹¹ 26

14 V,G,S,Sp 114947421323762 * 10¹⁴ 28

16 S 10¹⁶ 16

16 V,G,S 20899822769037 * 10¹⁶ 29

16 V,G,S,Sp 11725786449237 * 10¹⁹ 32

18 S 10¹⁸ 18

18 V,G,S 966407804840271 * 10¹⁸ 33

18 V,G,S,Sp 119614747568666 * 10²² 36

20 S 10²⁰ 20

20 V,G,S 446866968958141 * 10²² 37

20 V,G,S,Sp 122019003994797 * 10²⁶ 40

22 S 10²² 22

22 V,G,S 206631286446245 * 10²⁶ 40

22 V,G,S,Sp 124471585975092 * 10³⁰ 44

24 S 10²⁴ 24

24 V,G,S 955463068527435 * 10²⁹ 44

24 V,G,S,Sp 126973464853191 * 10³⁴ 48

26 S 10²⁶ 26

26 V,G,S 441806122887086 * 10³³ 48

26 V,G,S,Sp 129525631496741 * 10³⁸ 52

28 S 10²⁸ 28

28 V,G,S 204291151222989 * 10³⁷ 51

28 V,G,S,Sp 132129096689825 * 10⁴² 56

30 S 10³⁰ 30

30 V,G,S 944642283255099 * 10⁴⁰ 55

30 V,G,S,Sp 134784891533291 * 10⁴⁶ 60

Tabell 4: Hur lösenordslängd p˚averkar antalet möjliga lösenordskombinationer. Ta-bell 4 visar hur lösenordslängd (n) och alfabet (A) p˚averkar antalet möjliga lösenordskombinationer. Antalet möjliga lösenord var beräknat enligt ekvation |A|ⁿ, där A representerar lösenordsalfabet och n representerar lösenordslängd. Antalet

6 8 10 12 14 16 18 20 22 24 26 28 30 10

20 30 40 50 60

Lösenordslängd log10(Lösenordsrymdenstorlek)

Hur lösenordslängd p˚averkar antalet lösenordkombinationer

Siffror

Versaler + gemener + siffror Versaler + gemener + siffror + sp tecken

Figur 1: Hur lösenordslängd p˚averkar antalet lösenordkombinationer. I Figur 1 används antal siffror som respektive lösenordsrymdens storlek best˚ar av, det vill säga 10-logaritmen av lösenordsrymdens storlek avrundat till närmaste mindre heltal för att illustrera hur lösenordslängd p˚averkar lösenordsrymd. Figuren visar hur lösenordslängd p˚averkar lösenordsrymd/antalet möjliga lösenord för alfabetet, siffror, versaler + ge-mener + siffror och versaler + gege-mener + siffror + specialtecken

Tabell 5 visar hur ett lösenords alfabet p˚averkar lösenordsrymden, det vill säga antalet möjliga lösenord. Tabellen visar även antalet siffror som respektive lösenordsrymdens storlek best˚ar av, det vill säga 10-logaritmen av lösenordsrymdens storlek.

L¨osenordsl¨angd Alfabets-storlek

Antalet m¨ojliga l¨osenord (L) log₁₀ (L)

6 10 1000000 6

Tabell 5: Hur alfabetsstorlek p˚averkar antalet möjliga lösenordskombinationer. Antalet möjliga lösenord var beräknat enligt ekvation |A|ⁿ, där A representerar lösenordsalfabet och n representerar lösenordslängd. Antalet möjliga lösenord blir snart enormt. Antalet blir s˚a stort att det blir sv˚art att presentera p˚a ett tydligt sätt. Tabellen visar även hur

I Figur 2 används antal siffror för att visualisera hur alfabet p˚averkar lösenordsrymdens storlek.

10 14 18 22 26 30

6 8 10 12 14

Alfabetets storlek log10(L¨osenordsrymdenstorlek)

Hur alfabetsstorlek p˚averkar antalet l¨osenordkombinationer

6 tecken 8 tecken 10 tecken

Figur 2: Hur alfabetsstorlek p˚averkar antalet möjliga lösenord. I Figur 2 används antal siffror som respektive lösenordsrymdens storlek best˚ar av, det vill säga 10-logaritmen av lösenordsrymdens storlek för att illustrera hur lösenordslängd p˚averkar lösenordsrymd.

Eftersom summorna snabbt blir s˚a stora att de är sv˚ara att hantera utg˚ar grafen ifr˚an antalet siffror i respektive lösenord, istället för själva summan. Figuren visar hur al-fabet p˚averkar lösenordsrymd/antalet möjliga lösenord för ett lösenord med 6 tecken, 8 tecken och 10 tecken.

Figur 3 demonstrerar hur en ökning av lösenordslängd eller alfabetet ökar antalet möjliga lösenord. Start positionen var alfabetets (A) storlek lika med 10 och lösenordslängd (n) lika med 6. Antalet möjliga lösenord var beräknat enligt sambandet |L| =|A|ⁿ, där L är lösenordsrymden.

10 12 14 16 18 20 22 24 26 28 30 5

10 15 20 25 30

Alfabetsstorlek / lösenordslängd log10(Lösenordsrymdenstorlek)

Jämförelse om hur en ökning i lösenordslängd eller alfabet p˚averkar lösenordsrymd

Alfabet L¨osenordsl¨angd

Figur 3: Jämförelse av hur en ökning i lösenordslängd eller alfabet p˚averkar antalet möjliga lösenord. Figur 3 demonstrerar hur en ökning av lösenordslängd eller alfabe-tet ökar antalet möjliga lösenord. Start positionen var alfabetets (A) storlek lika med 10 och lösenordslängd (n) lika med 6. Antalet möjliga lösenord var beräknat enligt sambandet |L| = |A|ⁿ, där L är lösenordsrymden.

En modern dator bearbetar 10⁹lösenord per sekund, se Brumen och Cernezel [1]. Tabell 6 visar tiden som krävs att knäcka vissa lösenord. Moores lag anger att datorkraft fördubblas ungefär var artonde m˚anad. Detta innebär att hastigheten inom 10 ˚ar kommer att vara 100 g˚anger högre än idag, se Brumen och Cernezel [1]. Tabell 6 visar ocks˚a tiden som krävs att knäcka samma lösenord om tio ˚ar.

L¨

6 68 98867482624 1 min 38 sek 0,98 sek

6 101 1061520150601 17 min 42 sek 10,6 sek

8 10 10⁸ 0,1 sek 0,001 sek

8 68 457163239653376 5 dgr 7 tim 12 min 12 tim 43 min

8 101 10828567056280800 125 dgr 7 tim 12 min 1 dag 6 tim

10 10 10¹⁰ 10 sek 0,1 sek

10 68 211392282015721 * 10⁴ 67 ˚ar 244 dgr 17 tim 5 min

10 101 11046221254112 * 10⁷ 3503 ˚ar 35 ˚ar

12 10 10¹² 16 min 40 sek 10 sek

12 68 977477912040694 * 10⁷ 309956 ˚ar 3099,6 ˚ar

12 101 112682503013197 * 10¹⁰ 35731387 ˚ar 357313,9 ˚ar

16 10 10¹⁶ 115 dgr 16 tim 48 min 1 dag 3 tim 46 min

16 68 20899822769037 * 10¹⁶ 6627290325037 ˚ar 66272903250,4 ˚ar 16 101 11725786449237 * 10²⁰ 3718222491513500 ˚ar 37182224915135,0 ˚ar

Tabell 6: Tiden som krävs för att beräkna alla hashar för en lösenordsrymd. Den rapporterade hastigheten för att bearbeta ett klartextlösenord till ett hashvärde är 10⁹ kombinationer per sekund, se Brumen och Cernezel [1]. Det innebär att en dator be-arbetar 8.64 * 10¹³ lösenord per dag och 2.6784 * 10¹⁵ efter 31 dagar. Tabell 6 visar tiden som krävs att knäcka vissa lösenord. Moores lag anger att datorkraft fördubblas ungefär var artonde m˚anad. Detta innebär att hastigheten inom 10 ˚ar kommer att vara 100 g˚anger högre än idag, se Brumen och Cernezel [1]. Tabell 6 visar ocks˚a tiden som krävs att knäcka samma lösenord om tio ˚ar.

Den rapporterade hastigheten för att bearbeta ett klartext lösenord fr˚an ett hashvärde är 10⁹ kombinationer per sekund, se Brumen och Cernezel [1]. Det innebär att en dator bearbetar 8.64 * 10¹³ lösenord per dag och 2.6784 * 10¹⁵ efter 31 dagar.

Tabell 7 visar antalet tecken som krävs för att skapa lösenord som i genom-snitt tar 31 dagar att knäcka med brute force knäckning.

För att ett lösenord ska ta minst 31 dagar att knäcka krävs att alfabetet in-neh˚aller en viss teckenuppsättning. Till exempel kräver ett lösenord som är ˚atta tecken l˚angt ett alfabet med 85 olika tecken. Ett s˚adant alfabet kan skapas med 10 siffror, 29 gemener, 13 versaler och 33 specialtecken eller med 5 siffror, 29 gemener, 29 versaler och 22 specialtecken. B˚ada dessa teckenuppsättningar resul-terar i ett alfabet i samma storlek (85). Forskning har dock visat att användare

Lösenordslängd Alfabetsstorlek Antalet möjliga lösenord

Tid att kn¨acka l¨osenord

6* 101 1061520150601 0,009 dagar (13

minu-ter)

8 85 2724905250390620 31 dagar

10 35 2758547353515620 31 dagar

12 20 4096000000000000 47 dagar

16 10 10000000000000000 115 dagar

20 6 3656158440062980 43 dagar

25 5 298023223876953000 3450 dagar

30 4 1152921504606850000 13344 dagar

Tabell 7: Antalet tecken som krävs för att skapa ett lösenord som tar i genomsnitt 31 dagar att knäcka med brute force. Tabell 7 visar antalet tecken krävs för att skapa ett lösenord som ta minst 31 dagar att knäcka med brute force knäckning. *Obser-vera att det är omöjligt att skapa ett s˚adant lösenord med bara sex tecken, givet den processorhastighet och alfabetsstorlek som testas.

har tydliga preferenser när det gäller teckenuppsättningen, se Tupsamudre et al [23]. Användare välja sm˚a bokstäver, sen siffror, sen versaler och i sista hand specialtecken. Figur 4 nedan presenterar antalet tecken som krävs utifr˚an de här preferenserna. Det vill säga gemener är valt först, därefter siffror, sedan versaler och till sist specialtecken.

6* 8 10 12 16 20 25 30

Figur 4: Teckenuppsättningen för ett lösenord som tar i genomsnitt 31 dagar att knäcka med brute force. Figur 4 presenterar teckenuppsättningen efter användare preferenser.

Det vill säga gemener är valt först, därefter siffror, sedan versaler och till sist special-tecken

5.2 L¨ osenordsparadoxen

Tabell 8 visar sannolikheten för en krock för vissa lösenord, det vill säga sanno-likheten att vid minst tv˚a användare har samma lösenord inom en viss kombi-nation av lösenordslängd och lösenordsalfabet. Det finns tre olika alfabet kom-binationer i Tabellen. Där S representerar siffror, V representerar versaler, G st˚ar för gemener och Sp st˚ar för specialtecken.

L¨

-Tabell 8: Sannolikheten för en krock. Det vill säga sannolikheten att vid minst tv˚a användare har samma lösenord inom en viss kombination av lösenordslängd och lösenordsalfabet. Det finns tre olika alfabet kombinationer i Tabellen. S representerar siffror, V, G, S representerar versaler, gemener och siffror. V,G,S,Sp st˚ar för versa-ler, gemener, siffror och specialtecken. Bindesstreck antyder att beräkningen ej hunnit slutföras vid rapportens inlämning.

Risken f¨or en krock ¨ar visualiserad i graf 5. Grafen presenterar informationen fr˚an Tabell 8.

0 0.5 1 1.5 2 2.5 3 3.5 4 4.5

·10⁹ 0

20 40 60 80 100

Antalet l¨osenord

Sannolikheten

f¨or

enkrock

L¨osenordsparadox

6 tecken Alfabet = S 6 tecken Alfabet = V+G+S 6 tecken Alfabet = V+G+S+Sp

8 tecken Alfabet = S 8 tecken Alfabet = V+G+S 8 tecken Alfabet = V+G+S+Sp

10 tecken Alfabet = S 10 tecken Alfabet = V+G+S

Figur 5: Sannolikheten för en krock. Det vill säga sannolikheten att vid minst tv˚a användare har samma lösenord inom en viss kombination av lösenordslängd och lösenordsalfabet. Grafen presenterar informationen fr˚an Tabell 8.

figuren nedan presenterar risk f¨or en krock med de tre olika alfabetet. De demonstrerar informationen i Tabell 8.

Figur 6 presenterar risk f¨or en krock med en alfabetet som inneh˚alla siffror.

Figur 7 visar risk f¨or en krock med alfabetet versaler, gemener och siffror. Figur 8 visar risk f¨or en krock med alfabetet versaler, gemener, siffror och specialtecken.

0 0.5 1 1.5 2 2.5 3

·10⁵ 0

20 40 60 80 100

Antalet l¨osenord

Sannolikheten

f¨or

enkrock-Siffror

L¨osenordsparadox. Alfabetet = Siffror

6 tecken 8 tecken 10 tecken

Figur 6: Sannolikheten för en krock med en alfabetet som inneh˚alla siffror. Det vill säga sannolikheten att vid minst tv˚a användare har samma lösenord inom en viss kombination av lösenordslängd och lösenordsalfabet.

0 0.5 1 1.5 2 2.5 3 3.5 4 4.5

L¨osenordsparadox. Alfabetet = Versaler, gemener och siffror

6 tecken 8 tecken 10 tecken

Figur 7: Sannolikheten för en krock med alfabetet versaler, gemener och siffror. Det vill säga sannolikheten att vid minst tv˚a användare har samma lösenord inom en viss kombination av lösenordslängd och lösenordsalfabet.

0 0.5 1 1.5 2 2.5 3

L¨osenordsparadox. Alfabetet = Versaler, gemener, siffror och specialtecken

6 tecken 8 tecken

Figur 8: Sannolikheten för en krock med alfabetet versaler, gemener, siffror och speci-altecken. Det vill säga sannolikheten att vid minst tv˚a användare har samma lösenord inom en viss kombination av lösenordslängd och lösenordsalfabet.

5.3 Semantik

De olika databaserna inneh˚aller i stort underh˚allningsrelaterade tjänster, och inte säkerhetskritiska användningsomr˚aden som banktjänster.

Tabell 9 visar de vanligast förekommande lösenorden i den använda testda-tan.

Tabell 9: De 20 mest frekvent f¨orekommande l¨osenorden i den testdata arbetet omfattar.

Detta är beräknat genom frekvensen av identiskt ˚aterkommande lösenord fr˚an skilda användare i en och samma databas.

Tabell 10 visar de mest f¨orekommande segmenten i testdatan.

Plats Spel H¨alsa Bokaff¨ar

1 eater xxx man

2 man cat tan

3 cool therapy jan

4 poop rose love

5 bo healing pass

6 killer healers i

7 life angel blue

8 owned tigg art

9 connor harry abc

10 king man mine

11 don bear pit

12 bin dog password

13 kid jessica nicole

14 boy bowen master

15 josh premium lynx

16 love angels sam

17 ball massage crean

18 nigger tan security

19 law master rut

20 hit elizabeth mar

Tabell 10: De 20 mest frekvent förekommande segmenten i den testdata arbetet omfat-tar. Detta är beräknat genom att analysera samtliga lösenord i testdata och dokumen-tera vilka segment lösenorden är uppbyggda av. Segment listas i tabellen rangordnat efter mest förekommande frekvens.

Tabell 11 visar de vanligaste semantiska kategorierna för segment i testda-tan. Semantik i det här fallet avser ett samlingsnamn för ett antal synonymer, matchat fr˚an ett ordnät. n.01 antyder ett samlingsset av substantiv och v.01 ett av verb.

Plats Spel H¨alsa Bokaff¨ar

1 male names female names male names

2 last names male names female names

3 cities cities lastnames

Tabell 11: De 20 mest frekvent förekommande semantiska generaliseringarna i den test-data arbetet omfattar. Detta är beräknat genom att analysera samtliga segment i test-data och dokumentera vilka semantiska kategorier som är mest frekvent förekommande.

Tv˚a segment kan tillhöra samma semantiska generalisering. Semantiska kategorier listas i Tabellen rangordnat efter mest förekommande frekvens. Semantik i det här fallet avser ett samlingsnamn för ett antal synonymer, matchat fr˚an ett ordnät. n.01 antyder ett samlingsset av substantiv och v.01 ett av verb.

5.4 Procedur f¨ or att ¨ oka l¨ osenordsstyrkan

Arbetet har undersökt lösenordsval och lösenords s˚arbarhet för brute force knäckning och knäckning med hjälp av ordlistor. Det finns n˚agra enkla ˚atgärder som en användare eller ett företag kan implementera för att stärka ett lösenord.

• Undvik vanliga l¨osenord.

Det snabbaste sätt att knäcka ett lösenord är med hjälp av ordlistor.

modern dator bearbetar enorma antal kombinationer varje sekund och da-torer kommer att bli ännu snabbare i framtiden. Det är därför bra att inte använda ett ord fr˚an ett lexikon för att förhindra s˚arbarhet mot en s˚a kallad “dictionary attack”.

• “Mangling” av ett lösenord är inte tillräckligt

“Mangling” innebär att förändra en del av lösenord med n˚agot annat.

“iloveyou” skulle exempelvis förändras till “1loveYou” där i är ersättas med 1 och y med Y. Leet är en annan version av mangling där varje bokstäv kan ersättas med n˚agon annat, till exempel “a” kan ersättas med en av “4”, “/\”, “/–\”, “ˆ” eller “aye”, se Flamand [7]. Problemet är att lösenordsknäckningsmjukvara som Hashcat och John the Ripper erbjuder funktioner som generar en ”manglad” version av en ordlista. Mangling hjälper därför inte om ursprungslösenordet finns i en ordlista.

• ¨Oka l¨osenordsrymden

En större lösenordsrymd innebär att det finns flera möjliga l¨ osenords-kombinationer. En användare kan öka lösenordsrymden genom ökning av lösenordslängden eller tillägg av tecken i alfabetet, se Tabell 8. En ökning i lösenordslängd resulterar i betydligt fler möjliga lösenord än en motsva-rande ökning i ett lösenords alfabet, se Figur 3.

– Öka lösenordslängden

Ett bra sätt att öka lösenordsrymd är att kombinera tre eller fler ord till ett lösenord. Det är dock viktigt att orden inte är relaterade till varandra. Till exempel är “halmstadbollklubb” ett l˚angt lösenord (17 tecken), med en ganska l˚ang lösenordsrymd 29¹⁷. Men orden

“halmstad”, “boll” och “klubb” används ofta ihop, vilket medför en risk att lösenordet kan finnas med i en ordlista. Det är viktigt att kombinera minst tre ord eftersom datorer idag bearbetar s˚a m˚anga lösenordskombinationer att det finns risk att datorer snart kommer att klara av att även kombinera alla ord med varandra.

– ¨Oka l¨osenordsalfabetet

Ett annat sätt att öka lösenordsrymd är att öka lösenordsalfabetet.

Det vill säga lösenord best˚ar av en viss kombination av versaler, gemener, siffror och specialtecken. P˚a det här sättet kan en användare

skapa ett starkt lösenord som är kortare än ett lösenord som best˚ar av bara ett alfabet. Ett lösenord med mindre än 10 tecken är dock s˚arbart för brute force knäckning oavsett inneh˚all, se Tabell 6.

• Använd utländska bokstäver

Brute force knäckning och knäckning med hjälp av ordlistor fungera of-ta p˚a samma antagande. Nämligen att lösenord har skapats med tecken fr˚an det lokala spr˚aket. I Sverige innebär det svenska, som inneh˚aller la-tinska bokstäver. Ett lösenord som inneh˚aller en utländsk bokstav (som exempelvis ryska eller thai) kommer att bli mycket sv˚arare att knäcka.

• Anv¨and en annan eller kompletterande typ av autentisering

Arbetet visar att det finns tydlig s˚arbarhet i användandet av lösenord. Ett sätt att öka lösenordsäkerhet är att kombinera lösenord med en annan typ av autentisering. Banker över hela världen använder nu tv˚astegsverifiering innan en användare f˚a tillg˚angar till tjänster. Tv˚astegsverifiering är ett bra sätt att öka säkerhet om konsekvenser av ett IT-brott är allvarliga, till exempel stor ekonomisk förlust. Dock kan det finnas ett värde i att använda rätt verktyg för jobbet. En skärmsläckare behöver nödvändigtvis inte en tv˚astegsverifiering.

Framförallt handlar det om att användare väljer ett lösenord som är otippat och att lösenordsrymden är s˚a stor att det blir sv˚art att knäcka med brute force knäckning.

6 Diskussion

Denna sektion avser reflektera ¨over resultaten, och s¨atta dem i sitt sammanhang.

6.1 L¨ osenordsrymd

En ökning i lösenordslängd resulterar i betydligt fler möjliga lösenord än en motsvarande ökning i ett lösenords alfabet. Tabell 4 visar att ett lösenord med 6 tecken vars alfabet inneh˚aller enbart siffror, det vill säga tio olika tecken, re-sulterar i 1 000 000 (10⁶) möjliga lösenord. En ökning i lösenordslängd till ˚atta tecken resulterar i 100 000 000 (10⁸) möjliga lösenord. Ökningen av längd med tv˚a tecken har därför resulterat i en ökning av 99 000 000 möjliga lösenord. En

okning av tv˚a tecken i lösenordsalfabet istället för lösenordslängd resulterar i 2 985 984 möjliga lösenord, en ökning med bara 1 985 984. Det är 97 014 016 färre möjliga lösenord än en motsvarande ökning av lösenordslängd. Figur 1 och 2 visularserar hur en ökning av lösenordslängd eller alfabetet ökar anta-let möjliga lösenord. Figur 3 visar hur en ökning i lösenordslängd eller alfabet p˚averkar antalet möjliga lösenord. Den linje som representerar lösenordslängd stiger betydligt mer än den linje som representerar lösenordsalfabet.

Detta stöder Tupsamudres et al [23] arbete som p˚ast˚ar att lösenordslängd är den viktigaste faktorn när det gäller lösenordssäkert. Det stöder ocks˚a logiken bakom att m˚anga webbsidor idag kräver en viss lösenordslängd.

I det här arbetet var ett delmoment att uppskatta hur snabbt en modern dator kunde knäcka ett lösenord med brute force-knäckning, samt hur l¨ osenords-rymdens storlek p˚averkar den mängd tid som krävs. En modern dator var defini-erad som en dator som uppfyllde specifikationen i Brumen och Cernezels arbete [1], det vill säga en desktop som hade ett AMD Radeon HD 7970 Graphical Processing Unit (GPU) installerad. Systemet använde mjukvaran Hashcat för att matcha hashar och lösenord. Det är värt att notera att specifikationen inte

¨ar avancerad. Ett AMD Radeon HD 7970 GPU kostar cirka $500 och Hashcat

är open source mjukvara, s˚a den är gratis. Moores lag [16] anger att datorkraft fördubblas ungefär var 18:e m˚anad. Detta innebär att hastigheter inom 10 ˚ar kommer att vara 100 g˚anger snabbare än idag, vilket i sin tur innebär att datorer om 10 ˚ar kommer att knäcka lösenord 100 g˚anger snabbare än idag.

Den tid som krävs för att knäcka vissa lösenord finns i Tabell 6. Den visar att ju längre ett lösenord är desto längre tid krävs för att knäcka ett lösenord.

Det är omöjligt att skapa lösenord som aldrig kan knäckas, se Egelman et al

In document Lösenordsmönster: Att förebygga svaga lösenord (Page 31-68)