Twitter: Ingen adgang med ?gandalf' eller 'superman' som kodeord
De fleste er nok klar over, at 'password' og '123456' ikke er de bedste valg til en adgangskode. Men også kodeord som 'thx1138' og 'rush2112', der kan virke sikre nok, står på den første side i hackernes manual. Derfor har mikrobloggingtjenesten Twitter lavet en liste, som alle adgangskoder kontrolleres efter. Det skriver PC Magazine.
Listen på omkring 370 adgangskoder er en del af et script, der kontrollerer alle adgangskoder, som brugerne forsøger at vælge.
Det er det eneste trin i processen, hvor Twitter har mulighed for at kontrollere sikkerheden ved en adgangskode, fordi koderne bliver gemt som en hashværdi, så snart koden er godkendt af scriptet.
Listen stammer formentligt fra hackerforums, hvor hackere deler lister over kodeord, der kan bruges til brute force-angreb, hvor man forsøger at logge på et system ved at prøve at gætte en brugers adgangskode.
Twitters liste er forskellig fra den liste, som blev brugt af Conficker-ormen, der også forsøgte sig med brute force-angreb, når den havde inficeret en pc, der stod på et lokalnetværk.
Listen omfatter en lang række almindelige ord, navne, sportshold, byer og popkulturelle referencer som 'gandalf' og 'superman', samt mere nørdede referencer som netop 'rush2112' og 'thx1138'. De henviser til henholdsvis rockbandet Rush's album 2112 og George Lucas' science fiction-film THX 1138.
Kommentarer (6)
Endelig et fornuftigt tiltag på de sociale netværk, som gør noget for sikkerheden. Og såre simpelt at implementere i virkeligheden for admins verden over.
Det er virkelig på tide at Hr. og Fru hverdags-bruger lærer noget om sikkerhed vs. dovenskab. For det må da efterhånden stå fast, at usikre adgangskoder er lig med ekstrem dovenskab fra brugeren side, og ikke nær så meget er et tegn på et dårligt sikret system. Dovne brugere, som har "koder" som "vovvov21, fido1987, karen61" og flere af samme skuffe har alle dage gjort sig selv en dårlig tjeneste ved at bruge svage adgangskoder.
Men det er ikke kun på private computere dårlige adgangskoder er et problem. Mange steder i det offentlige er der mange, som bruger svage koder, og dermed udgør en risiko for systemet. Så kan man bede brugerne om aldrig så mange gange at lade være, det hjælper intet. For de argumenterer med, at de har for travlt til at gå og huske på alle de koder. Hvortil mit svar altid er, at så har de valgt det forkerte job. Sikkerhedspolitikken forskriver at brugeres koder er komplekse, og det skal brugeren rette sig efter.
-
0 -
0
Sikkerhedspolitikken forskriver at brugeres koder er komplekse, og det skal brugeren rette sig efter.
Bare fordi man skriver nogle regler på papir SÅ bliver virkeligheden ikke anderledes!
Uanset Hvad "Reglerne" Siger, så bliver en kompleks kode, some ingen naturligvis kan huske, bare skrevet ned og klistret under blyantskuffen!!
Jeg kender absolut INGEN der har fået ros af deres chef for at overholde firmaet sikkerhedspolitik, snarere tværtimod, folk får ros for at gøre deres JOB hurtigt og effektivt. Hvis sikkerhedspolitikken er i vejen for det som belønnes bliver den omgået - på een eller anden måde, folk vil finde en måde der er meget værre end bare dårlige passwords.
Og - Hvis valget en dag kommer mellem "arbejdet" og "sikkerheden" - så ryger sikkerheden (sammen med den irriterende sikkerhedsansvarlige, der blokerer alting). Det sker typisk når sælgerne bliver sure nok og laver et lynch-party sammen med et par chefer.
Hvis man ønsker reglerne overholdt skal man gøre det nemt for brugerne at overholde dem!
PS:
Hvis det er vigtigt med lange passwords med skumle karakterer kan "man" jo hive muldvapen frem og købe ordentlige sikkerhedssystemer der bruger en fysisk kryptografisk nøgle per bruger.
Nøglen genererer en eengangskode hver 30 sekund ud fra en PIN-kode (som folk KAN huske).
-
0
-
0
Jeg kender mange der benytter der samme password over hele linjen, til deres mail, digitale signatur, facebook - über alles. Og for at det skal være nemt, benytter de måske initialer, krydret med deres fødselsdato for at gøre det "lidt svært at gætte".
Så krummer jeg tær. Men beder jeg dem benytte forskellige passwords, glemmer de dem, og det dur jo heller ikke.
Hvordan løser man det?
-
0
-
0
Hvordan løser man det?
Beder dem lære ét rigtigt godt og sikkert password og så bruge lastpass [1].
Martin R. Ehmsen
-
0
-
0
Beder dem lære ét rigtigt godt og sikkert password og så bruge lastpass [1].
Og dermed overgive deres password til 3. part? Næppe.
Uanset Hvad "Reglerne" Siger, så bliver en kompleks kode, some ingen naturligvis kan huske, bare skrevet ned og klistret under blyantskuffen!!
Og hvad så? Det nedskrevne password kræver jo fysisk adgang. Vi taler om websystemer hvor brugerne er spredt over hele verdenen.
Hackerne går sjældent efter specifikke brugere, men langt oftere efter websitet for at kunne bruge det til at inficere brugerne så de kan opbygge et botnet. Eller for at få kreditkort oplysninger.
-
0
-
0
I stedet for at nedskrive diverse passwords på papirlapper eller lagre dem eksternt hos 3. part, kan de gemmes lokalt i krypteret base med eet kendt password, fx med http://keepass.info/ - og den virker også i Opera-browseren.
Man kan have den med på USB-nøgle, og diverse mobil-pinkoder, pas- og kørekortsnumre, konto-numre og lignende kan ligeledes gemmes.
Man skal kun huske det ene stærke password, og den kan så selv lave tilfældige password med valgt antal tegn.
-
0
-
0
