Hos Google er 'kagemand' et stærkt kodeord
Der skal ikke meget til at imponere Googles password-checker, som undersøger styrken af de kodeord, nye brugere skriver ind ved oprettelse af en Google-konto eller en Gmail.
Ifølge password-checkeren er for eksempel det gode danske ord 'kagemand' ? stavet præcis på den måde ? et effektivt kodeord, som får indikatoren for kodeordets styrke helt op i det grønne felt. Det samme gælder 'minkode1' og flere andre kodeord i den boldgade, Version2 har forsøgt sig med.
På den engelsksprogede udgave bruges betegnelsen 'Strong', mens den danske udgave bruger betegnelsen 'Effektiv' om højeste trin på styrkeskalaen.
Men et kodeord i stil med 'kagemand' forbindes normalt ikke med prangende password-styrke, og det henvises da også direkte til kategorien 'Svag' med en rød advarselsfarve i for eksempel Microsofts password-checker.
Heller ikke en dansk sikkerhedskonsulent, Version2 har talt med, klapper i hænderne over Googles password-check.
Skal hjælpe brugeren til et sikkert kodeord Når en bruger vil oprette en Google-konto eller en Gmail, skal han som de fleste andre steder finde på et kodeord at beskytte kontoen med. Når man har logget ind på eksempelvis Gmail, har man samtidig også adgang til blandt andet Googles tjenester Dokumenter og Kalender.
For at hjælpe brugeren med at finde på et godt og solidt password har Google tilføjet en lille indikator for kodeordets styrke ved siden af indtastningsfeltet. Den viser løbende styrken med en indikator fra Svag/Weak til Effektiv/Strong, mens kodeordet indtastes.
»Vi har oprettet en funktion, der visuelt giver dig besked om, hvor sikker din adgangskode er, så snart du har oprettet den. Derved er det nemmere for dig at oprette en sikker adgangskode,« skriver Google i sin egen vejledning til at oprette sikre passwords. Vejledningen kan hentes frem via et link, der ligger placeret klos op af indikatoren.
Alligevel smutter Version2's testpilot 'kagemand' lige lukt igennem og får topkarakter af Googles password-kontrol, hvilket ikke imponerer sikkerhedskonsulent Claus Nørklit Roed, PricewaterhouseCoopers.
Sikkerhedskonsulent: 'Strong' er vildledende »Det er ikke det, jeg vil kalde 'good practice'. Faktisk er det vildledende, når de på den engelsksprogede hjemmeside betegner kodeordet 'Strong',« siger Claus Nørklit Roed, som selv har afprøvet password-checkeren på Googles hjemmeside.
»'Good practice' er jo netop det, som Google skriver i sin egen vejledning til at oprette stærke passwords. Men det håndhæver de åbenbart ikke i praksis,« uddyber Claus Nørklit Roed.
Han mener, at 'oversættelsen' på den danske udgave af Google-siden fra Strong til Effektiv faktisk er bedre, når nu Google ikke holder sig til god praksis for stærke passwords ved checket.
»Man kan jo diskutere, om det er et effektivt kodeord. Hvis de havde sagt, at kodeordet 'kagemand' eller tilsvarende var stærkt, ville jeg være enig i, at det ikke er godt nok. Men når de bruger ordet effektivt, er det formentlig i henhold til, at kodeordet er mindst otte tegn langt, kombineret med en eller anden form for negativ-liste,« siger Claus Nørklit Roed.
Vurderer du, at den gennemsnitlige bruger af Googles tjenester kender forskellen på et effektivt og et stærkt password?
»Problemet er, at hvis Google rent faktisk håndhæver den password-politik, de selv foreskriver, så falder der automatisk en masse brugere fra, som ikke kan gennemskue reglerne for at oprette et stærkt password. Så ordet effektiv synes jeg egentligt er meget godt i forhold til den måde, de håndhæver reglerne på,« siger Claus Nørklit Roed.
Han påpeger, at det altid er et spørgsmål om en risikovurdering af det, man gerne vil sikre.
»Jeg siger ikke, at det er gode passwords, som password-checkeren godkender som effektive. Men du må se på, hvad det er, man rent faktisk ønsker at beskytte. I tilfældet en Google-konto, hvor stærkt et password er så nødvendigt?,« siger Claus Nørklit Roed.
Version2 har kontaktet Google i Danmark for at høre, om fænomenet skyldes, at der er tale om et dansk ord. Eksempelvis bliver 'password' som kodeord henvist til kategorien 'Svag'.
Det har ikke været muligt at få en kommentar fra Google inden deadline.
API'et til Googles password-checker er ikke offentligt tilgængeligt, men det kan f.eks. tilgås efter den metode, der beskrives på hjemmesiden under fanebladet Eksterne links.
Kommentarer (7)
Det giver kun mening at snakke om stærke og svage passwords i forbindelse med bruteforce-angreb. Men for de fleste private brugere udgør bruteforce kun en meget lille trussel.
Den største trussel i dag er keyloggere, og i den forbindelse er passwordets styrke ikke nogen faktor. Man kan benytte sig af et episk passpoem, og stadig være i lige så stor risiko som hvis man bare brugte "password" som kode.
-
0 -
0
Som Rasmus påpeger kan man ikke snakke om stærke eller svage passwords uden at snakke om en måde at bryde dem på igen.
For mig ser det ud som om Google benytter sig af en vurdering som baseres på både Wordlist baserede attacks såvel som bruteforce attacks.
Et password på 8 tegn og med 28 forskellige tegn (kun a-z, bemærk forskel fra a-zA-Z) vil give 28^8 = 377.801.998.336 forskellige passwords. Et bruteforce attack med 4.000.000 password kombinationer pr. sek. vil betyde at en hacker skal bruge lidt over én dag på at bryde et sådant password.
Selvom "kagemand" ikke er et vanvittigt password så vil de stadig beskytte en bruger mere end passwordet "password", eller "qwerty" :)
-
0
-
0
Håber at Google og alle andre lægger delay ind efter hvert forkert password forsøg, så bruteforce angreb gøres parktisk umulige den vej...
Passwords som "password","1234" osv. er kun et problem, fordi de ligger på "top 100" over hyppige password, hvorfor de vil kunne gættes pr. håndkraft.
-
0
-
0
Hej
Jeg bruger dette program til at lave koder til mange ting og det er noget der virker og "kagemand" er svagt i følge programmet.
Læs mere her http://www.pctools.com/guides/password/
-
0
-
0
Rasmus:
Det giver kun mening at snakke om stærke og svage passwords i forbindelse med bruteforce-angreb. Men for de fleste private brugere udgør bruteforce kun en meget lille trussel.
Jeg gætter på, at en del af indbruddene sker ved helt primitivt at gætte passwords. Jf. sagerne om Michael Rasmussens og Sara Palins mailkonti. Så vidt jeg husker, var det typiske svage passwords, som navne på familiemedlemmer og den slags, der gav adgang.
Henrik:
Jeg bruger dette program til at lave koder
Så kan man jo blive rigtig paranoid, og spekulerer over, om de gemmer de genererede passwords til en ordbog... :-) De par gange jeg har haft brug for helt tilfældige koder, har jeg spurgt Python efter et. Men den slags koder er ikke til at huske.
-
0
-
0
Med det omtalte program som jeg henviser til, bruger jeg ikke den online version men har hentet selve programmet ned.
Jeg tvivler dog på at et sikkerhedsfirma ville gøre brug af at gemme de password som brugerne laver.
-
0
-
0
