Är svenska lösenord säkrare än engelska?

Jag tror du är inne på helt rätt spår. I min enkla värld tror jag så mycket på det att jag tidigare använde åäö i alla lösenord av just den anledningen. Men då jag reser så mycket och ibland lånar datorer slutade jag med det för något år sedan.

Att använda åäö i sina användarnamn/lösenord kan ge oönskade konsekvenser. För ett par år sedan hade vi inbrott på kontoret. En kollegas dator blev stulen. Jag skaffade en ny burk. Skapade ett användarkonto på den och satte användarnamnet till vederbörandes för- och efternamn. Tidigare använde vi bara förnamnet, men i efternamnet befann sig ett litet ä. Allt var frid och fröjd till vi skulle göra några betalningar och behövde koppla upp mot bankgirot. Totalstopp. Efter flera dagars felsökande och oräkneliga timmar med supporten framkom det att man inte får ha något åäö i sitt användarnamn på Windows, ty då ballar bankgirot ur. Och kan man byta namn på en användare i Windows? Svar, nej. Du kan få ett annat namn att visas på skärmen men djupare i systemet går det inte. Fick sålunda skapa en ny användare och föra över alla filer etc. Slutsats: Om inte tecknet finns på ett amerikanskt tangentbord - ge fan i att använda det i sådana sammanhang.

Jag har samma erfarenhet, fast annan situation. Det finns andra fall där ÅÄÖ plötsligt slutar fungera, det kan vara en ändrad inställning för teckenset och sånt, det kan i värsta fall ske bakom ryggen på en som en "buggfix". Man tycker vi skulle vara förbi sådana problem idag men det är vi inte. Annars borde ÅÄÖ ge högre säkerhet eftersom knäckningsalgoritmer kan hålla sig inom ASCII just av samma anledning.

Vad gäller "3cklesi4stikm1nIster" (specialtecken och fixar med ord) mot "correct horse" (långa meningar) så beror det ju på knäckningsmetod. "3cklesi4stikm1nIster" är svår att knäcka med vanliga ordlistor (då måste man ta med alla siffersubstitut också), men "correct horse" vore enkel om man använder ordlistan med flera ord i taget, men "correct horse" är svårare om man bara bläddrar tecken.

Jag har börjat med en tredje metod: Jag bygger lösenord med mönster på tangentbordet. Lösenorden är hur kryptiska som helst men ganska lätta att lära sig. Jag använder den på platser där jag tvingas använda siffror och specialtecken.

Du förstår vilken monsterlista du behöver om du ska bygga tillsammans ord?

ÅÄÖ är nog generellt inte att rekommendera. Bl.a av anledningen som pmarriott skriver. Däremot tror jag att andra krångligs, svenska ord som t.ex "3cklesi4stikm1nIster" ("Ecklesiastikminister") eller liknande kan vara mer svårknäckta än "password1234"

Hur kunde du veta mitt lösenord???

Att byta ut bokstäver mot siffror a la e mot 3 eller a mot 4 är inte att rekommendera, det är genomskådat sedan länge.

Dock finns det mindre svenska ordlistor med åäö än engelska, så ja det är säkrare.

Personligen brukar jag köra slumpade lösenord på 15tecken med små, stora, siffror och tecken. Sen kör jag LastPass.

För humans ja, men det brukar ju vara datorer som kör brute force. Menar du att de kör ordlistorna flera gånger med alla a utbytta mot 4, och alla e utbytta mot 3, i olika kombinationer? I så fall hävdar jag ändå att det är säkrare, eftersom det krävs så många fler körningar.

Du kan läsa mer om myten här, The P4ssw0rd Myth?

Det är precis det programmen gör. Läs Schneier-referensen i mitt inlägg #8. Den beskrivningen av hur programmen fungerar är lite gammal, och mycket nytt har hänt sedan dess.

Visst, det ökar sökutrymmet kanske hundrafalt. Alltså alldeles för lite för att spela någon avgörande roll.

Även om det är lite OT väcker tråden en liten undran. Betyder verkligen själva ordet något? Jag kan inse att en amatör börjar med qwerty och sedan andra enkla ord. Men kunniga skurkar använder datakraft som jobbar sig igenom kombinationer? Så är verkligen ett svenskt ord utan ÅÄÖ eller olika tecken bättre än ett Engelskt?

aaa eller äää är ju inte svårare för en dator att komma fram till.

Antalet kombinationer blir ju resultatet att längden på lösenordet och antal tecken i teckenuppsättningen är det avgörande.
Det är inte vilka tecken man väljer €%&/()=3764523 är inte svårare för en dator att gissa än motsvarande långt fint ord på något (för människor) lättläst.

Precis som XKCD säger, vi envisas med att välja lösenord som är sketsvåra för människor att komma ihåg men så korta så de är en baggis för en dator att gissa...

I ripelys fall ovan så har hen rätt; om man kör med att kolla lösenord mot en ordlista.
Använder man brute force, gäller bara ordlängd x antaltecken(a...z.1...0 osv)

Men om vi åtgår från att de flesta datorer är placerade utanför Sverige undrar jag om de "hackerprogrammen" tar med ÅÄÖ i sina körningar? Det var så jag tänkte. Annars är jag helt med på resonemanget att antalet bokstäver x antalet tecken x siffror ger säkerheten.

IF <origin_of_Users=0046_Sweden> THEN Load #Svenska_AkdeminsOrdlista2011

Om jag skall knäcka en bunte Engelska - ngn modifierad Oxford disctionary.

Jag tror ju inte det krävs för mkt hackerkunnande innan man kan fixa en ordlista för respektive land/språk.

Precis, längden är avgörande. Sedan kräver de flesta inloggningar minst en siffra, minst en stor bokstav etc. Och att då byta ut en enstaka bokstav mot en "liknande" siffra (se inlägg #4) kan vara ett enklare sätt för människor att komma ihåg långa lösenord och ändå uppfylla kraven.

Nej. Det finns även svenska ordlistor.

Då man gör en lösenordsattack använder man relevanta ordlistor (det finns för flera språk) och har algoritmer som lägger till vanliga suffix, genererar l33t sp33k (byter ut tecken mot t.ex. siffror), och mycket annat.

Om du gör en Google-sökning på ditt lösenord och får träff så finns ditt lösenord redan i ett dictionary. (Om du inte får träff finns lösenordet NUMERA i ett dictionary :/ )

Här är några intressanta artiklar i ämnet:
Schneier on Security: Choosing Secure Passwords
Troy Hunt: The only secure password is the one you can’t remember

Som vanligt får man fundera på VEM man vill skydda sig mot. Mamma eller en myndighet?

Om svaret är t.ex. "myndighet" så finns en annan lämplig seriestripp att begrunda:
xkcd: Security

Jaha, då får man gå språkkurs i något utdött sydamerikanskt språk.

Faktum är att man använt ett språk som kod.
"Windtalkers" under andra världskriget var indianer, de talade Navajo ett språk som
är otroligt svårt - och som "ingen jävla tysk antroprolog har vart där heller och inventerat språket heller"*

*sagt av ngn hög militär som trodde på användandet av språket som kod.

Det finns även en film med samma namn - sölig krigsfilm med Nicolas Cage Windtalkers (2002) - IMDb

Och om jag minns rätt så fick amerikanerna skrämselhicka när det visade sig att den ende som studerat Navajo akademiskt utanför USA var just en tysk professor i Berlin. Nu var det inte så farligt eftersom Windtalkers bara användes av marinkåren i Stilla Havet mot japanerna.

Dropbox skrev en artikel tidigare i år på sin blogg om hur man mera korrekt ska bedöma vad som är bra lösenord. Det är en väldigt teknisk text, men det går ändå att få ut lite av dom även om man inte förstår allting.

Det finns till exempel många mönster i hur folk skapar lösenord som gör att den som ska knäcka det med rå kraft kan ta massor av genvägar. Förutom redan ord från ordlistor finns det populära kombinationer som qwerty och asdf som knappast behöver någon närmare förklaring. Även andra fakta hjälper knäckandet, som att om det finns en stor bokstav i ett lösenord är det troligast att det är den första bokstaven. Hackare har också tillgång till de enorma filer med användarnamn och lösenord som andra hackare släppt efter att ha gjort intrång på populära webbplatser.

Agile Bits som gör 1Password har skrivit en hel del bra om lösenord och säkerhet. Kolla till exempel in den här om lösenkoder för iPhone: The ABCs of XRY: Not so simple passcodes | Agile Blog

I en annan artikel tittar de på säkerheten för lösenord av typen slumpmässiga ord (och då ska det vara riktigt slumpmässiga, gärna valda med tärning) så som XKCD beskriver det. Att t.ex. försöka knäcka lösenordet till 1Password fil kan vara en skillnad på 3 dygn och 500.000 år om man går från tre till fem ord:

Om man tänkt sig att använda några slumpmässiga hela ord som lösenord (enligt XKCD strippen) så är det som sagt viktigt att de är SLUMPADE! Om det är en ordföljd som har mening så är risken stor att den finns listad i t.ex. den katalog över ordföljder som Google ger ut (som även inkluderar svenska):

LDC Catalog

Jovisst är svenska lösenord säkrare, i praktiken, om än skillnaden i teorin är liten (men existerande).

Brute force attacker går inte till så att ALLA tillgängliga ord/kombinationer testas, utan de mest sannolika, och redan av det skälet kommer svenska ord att vara mindre sannolika. På alla server-loggar som jag någonsin studerat som utsatts för intrångsförsök så har det varit uteslutande engelska brute force-attacker.

Jag brukar skriva meningar som lösenord. På svenska och gärna med några skiljetecken. Lätt att komma ihåg, svårt att knäcka. På de tjänster jag tycker att de är viktigt med ett lösenord att komma ihåg har det faktiskt inte varit något problem. Men för det mesta låter jag 1password generera och spara lösenorden. Det fiffiga med svenskan är ju att vi kan hitta på egna ord som inte finns i någon ordbok. Ord som asbestcontainer eller megahövding lär nog vara svåra att brutalforcera. (Ja även brutalforcera)

Jag har ett bra exempel av när ÅÄÖ inte fungerar som jag upptäckte nyligen. Skulle uppgradera från 10.7 till 10.8. Har Filevault på... lösenordet innehåller ett eller flera av ÅÄÖ.

När datorn startar om för att installationen skall påbörjas fungerar inte lösenordet. Däremot fungerade recovery key som jag självklart sparat.

När allt är installerat fungerar lösenordet igen.

(Likadant på både flickvännens och min MBA).