mboost-dp1
Apple ID password...
OK, kunne ikke lige bestemme sig for hvor den skulle ligge, så det blev en tagwall :)
Jeg har en gammel Apple ID, hvortil jeg har glemt min kode. Jeg går ind på www.icloud.com og skriver min email og forsøger derfra at gætte mig til hvad jeg nu engang har brugt som password. Siden det er mange iterationer siden, at den blev oprettet, så er knas med hukommelsen og et virvar af nyere passwords blevet til denne - forunderlige - opdagelse:
Man skulle forvente, at der på icloud.com var noget sikring mod brute-force. Måske er der det, men her er, hvad jeg har forsøgt:
3 forsøg: Ingen "lås i 1 minut" eller email
6 forsøg: Ingen "lås i 1 minut" eller email
9 forsøg: Ingen "lås i 1 minut" eller email
12 forsøg: Ingen "lås i 1 minut" eller email
Kan jeg bare blive ved??? Eller sker der noget på serversiden usynligt for mig?
Ved godt, jeg bare kan resette, men nu har jeg sat det som en udfordring at finde mit gamle password :D Og måske påvise om brute force er let den vej igennem..
Jeg har en gammel Apple ID, hvortil jeg har glemt min kode. Jeg går ind på www.icloud.com og skriver min email og forsøger derfra at gætte mig til hvad jeg nu engang har brugt som password. Siden det er mange iterationer siden, at den blev oprettet, så er knas med hukommelsen og et virvar af nyere passwords blevet til denne - forunderlige - opdagelse:
Man skulle forvente, at der på icloud.com var noget sikring mod brute-force. Måske er der det, men her er, hvad jeg har forsøgt:
3 forsøg: Ingen "lås i 1 minut" eller email
6 forsøg: Ingen "lås i 1 minut" eller email
9 forsøg: Ingen "lås i 1 minut" eller email
12 forsøg: Ingen "lås i 1 minut" eller email
Kan jeg bare blive ved??? Eller sker der noget på serversiden usynligt for mig?
Ved godt, jeg bare kan resette, men nu har jeg sat det som en udfordring at finde mit gamle password :D Og måske påvise om brute force er let den vej igennem..
12 forsøg kvalificerer næppe som brute force. Det kunne også afhænge af hvor hurtigt du indtastede de forskellige passwords efter hinanden. Hvis du f.eks. kun afprøver 2-3 i minuttet, så kan du måske blive ved, hvor imod hvis du prøver med 100 passwords i minuttet, så bliver du måske låst ude.
Jeg ved det ikke - jeg gætter bare i blinde.
Jeg ved det ikke - jeg gætter bare i blinde.
Den slags begrænsninger burde laves sådan at jo længere password man indtaster, des hurtigere får man lov at prøve.
Man kunne f.eks. bruge et kvotesystem, hvor kvoten måles i tid. Man starter med en kvote på 24 timer og kvoten kan aldrig nå over 24 timer. Hver gang man indtaster et password trækkes der så fra kvoten som følger:
8 tegn - træk 1 time fra
9 tegn - træk 8 minutter fra
10 tegn - træk 10 minut fra
11 tegn - træk 8 sekunder fra
12 tegn - træk 1 sekund fra
13 tegn - træk 125 millisekunder fra
Det giver brugere en grund til at vælge længere passwords. Og dem som vælger kortere passwords får den ekstra beskyttelse fra skrappere rate-limiting.
Man kunne f.eks. bruge et kvotesystem, hvor kvoten måles i tid. Man starter med en kvote på 24 timer og kvoten kan aldrig nå over 24 timer. Hver gang man indtaster et password trækkes der så fra kvoten som følger:
8 tegn - træk 1 time fra
9 tegn - træk 8 minutter fra
10 tegn - træk 10 minut fra
11 tegn - træk 8 sekunder fra
12 tegn - træk 1 sekund fra
13 tegn - træk 125 millisekunder fra
Det giver brugere en grund til at vælge længere passwords. Og dem som vælger kortere passwords får den ekstra beskyttelse fra skrappere rate-limiting.
#6
Vil du så lagre en variabel der beskriver længden af koden? Hvis koden er tilstrækkeligt hashed, så vil man ikke kunne se hvor lang koden er når den ligger i en database.
Hvis man lagre data om længden af koden, så sænker man vel sikkerheden mod bruteforce idet at crackeren, med adgang til lagret, ved at koden er n tegn lang og dermed sænke antallet af passwords der skal prøves ganske meget.
Vil du så lagre en variabel der beskriver længden af koden? Hvis koden er tilstrækkeligt hashed, så vil man ikke kunne se hvor lang koden er når den ligger i en database.
Hvis man lagre data om længden af koden, så sænker man vel sikkerheden mod bruteforce idet at crackeren, med adgang til lagret, ved at koden er n tegn lang og dermed sænke antallet af passwords der skal prøves ganske meget.
Kan det simpelthen være rigtigt, at internettet ikke indeholder denne oplysning? Hvor mange forkerte forsøg på www.icloud.com før der er konsekvenser af den ene eller anden grad?
Er det nødvendigt at sætte en grænse på hvor mange forsøg man kan, for at forhindre bruteforce?
Er det ikke rigeligt at sætte f.eks. 30 sekunder "cooldown" på dine forsøg? Så ville selv "lette" passwords tage laaaang tid at brute force.
Er det ikke rigeligt at sætte f.eks. 30 sekunder "cooldown" på dine forsøg? Så ville selv "lette" passwords tage laaaang tid at brute force.
#14 er det så for ikke unødigt at bekymre brugeren, at denne ikke bliver informeret om et igangværende "forsøg"?
Jeg tænker, hvis jeg stod for sikkerheden på sådan et sted, så ville jeg sende en besked til brugeren, når det så endelige lykkes at logge ind med "En bruger har lige logget ind på din konto, men har brugt x forsøg på det. Det lugter lidt, men måske er det bare dig, der har været virkeligt dårlig til at huske dit password"
Ikke efter 3-4 forsøg.. Men 30 forsøg da?
Jeg tænker, hvis jeg stod for sikkerheden på sådan et sted, så ville jeg sende en besked til brugeren, når det så endelige lykkes at logge ind med "En bruger har lige logget ind på din konto, men har brugt x forsøg på det. Det lugter lidt, men måske er det bare dig, der har været virkeligt dårlig til at huske dit password"
Ikke efter 3-4 forsøg.. Men 30 forsøg da?
Der er en smule sikkerhed mod brute force, i hvert fald i Find My Mac: http://www.cloudpro.co.uk/cloud-essentials/risks/3...
Men den sikkerhed er virkelig ringe.
Men den sikkerhed er virkelig ringe.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund