Bruger du mere end ét password?

OpenID er en super smart løsning, hvis det ikke var pga. en lille detalje: Alle vil være din OpenID provider og kun få vil være consumer.

Når Google og andre råber op omkring at de nu understøtter OpenID, så er det kun en halv sandhed, de vil nemlig ikke acceptere login med OpenID, men vil gerne tillade at andre benytter dem som provider.

Jeg vil godt gøre jer opmærksom på en af mine medstuderende venners (Johan Brinch) stykke arbejde i programmet "RndPhrase". Det er ikke helt færdigt endnu, men han har 100% fat i det rigtige her. Det er et genialt stykke arbejde.

Tricket er, kort fortalt, at man hasher et password med domænet og derved genererer et nyt unikt password for hver nyt login. Det hele ligger så i (den rigtige anvendelse af) hash-algoritmen og i en browserplugin.

Mere info på:

http://www.dikutal.dk/node/3738

og hans kode-repo er naturligvis åbent:

http://wiki.github.com/brinchj/RndPhrase/

Jeg har i mange år brugt Password Safe (http://passwordsafe.sourceforge.net). Det er rimelig sikkert (blev oprindelig udviklet af Bruce Schneier) og reviewet (programmet er open source - ikke at det i sig selv er nogen garanti for noget).

Programmet gør det nemt at holde styr på login information til forskellige sites. Derudover har programmet en række shortcuts til fx at auto-paste brugernavn og kodeord ind i en form eller lignende. Programmet kan auto generere kodeord, så der er ingen undskyldning for at genbruge kodeord.

Er OpenID/Facebook Connect fremtiden? Eller hvordan skal vi håndtere den voksende mængde passwords - hvordan håndterer du dem nu?

En modning af den elektronisk nøglering eller en digital signatur hvor du selv har din private nøgle, f.eks. PGP, er det eneste acceptable.

KeePass virker både til .Net og Mono. KeePassX er crossplatform, bl.a. Linux og diverse mobil OS. Den største udfording er at finde en online placering hvorfra indholdsfilen kan gemmes og hentes.

Begge fantaiske værktøjer der bygger på RSA. Den største risiko er at nogle stjæler nøgleringen og hovednøgle samtidig. For den kyndige bruger, dog langt mere sikkert end at overlade det til sikkerheden på diverse serverer.

Som en klog man engang sagde: Single sign-on (SSO) er og bør være en client side teknologi.

Jeg har et sæt af funktioner i min .bashrc fil som gør at jeg let kan åbne en krypteret fil på min usb stick, og så er der en batch fil og gpg til Windows så jeg kan gøre det samme når jeg er væk fra Linux.

Jeg har så også en kommando så jeg kan hente et enkelt password ud fra filen.

Jeg bruge 'apg' (http://www.adel.nursat.kz/apg/) til at generere passwords, for så er de oftest brugte lidt nemmere at huske. Intet password er brugt flere steder.

Jeg har behov for at opbevare alverdens små personlige informationer på en sikker måde. Koder til kontokort, til filer der pakket/låst med password, til administratorkontoen på hjemmeserveren osv.

Jeg brugte indtil for nyligt Keyring for Palm
http://gnukeyring.sourceforge.net/
på telefonen og Gnome Keyring
http://live.gnome.org/GnomeKeyring
på pc'en.

Nu mangler jeg en udgave Keyring til den Symbian jeg har fået leveret af mit nuværende arbejde.

Samtidigt må det konstateres, at selvom der findes mange alternative og sikrere metoder til autentifikation, så forbliver brugernavn/password den klart mest udbredte.

Den absolut mest udbredte autentificeringsmetode må vel stadig være "noget jeg har". Render vi ikke alle sammen rundt med en nøgle til hoveddøren, til bilen/cyklen, til arbejdspladsen, til garderobeskabet, for ikke at nævne pas, kørekort, ID-kort m.v...?

Og så er der jo "noget jeg ved", nemlig det hemmelige kodeord.

Men herudover, hvad er det for en masse alternative metoder?

M.v.h. Knud Henrik

PS: Jeg ved godt, at diverse leverandører af biometriske identifikationssystemer forsøger at prakke os disse på som autentificeringssystemer, med sloganet "noget du er" - det er en eklatant misforståelse! Men det er en helt anden og meget længere diskussion.

Hej Knud,

Da version2 nu er et IT site, mente jeg naturligvis autentifikationsmetoder, der kan anvendes i IT sammenhæng. Om en nøgle så er en autentifikationsmetode, det er vel lidt en definitionssag. Jeg vil normalt mene at autentifikation består af to ting: 1. Identifikation og 2. Verifikation af denne identitet.

Til verifikation af en IT identitet findes der da bestemt flere løsninger end password og biometri. Du nævner jo selv de tre kategorier:
1) noget man ved (f.eks. password, pass phrase, PIN))
2) noget man har (f.eks. smartcard, hardware token, software token, mobiltelefon)
3) noget man er (biometri)

/msh

"Bruger du bruge samme password til alle websites?"

Hej Mads

1) Det er noget sludder, at autentifikation består af identifikation og verifikation. Autentifikation består af autentifikation. Punktum (læs selv nogle gode bøger om emnet). Adgangskontrol består af identifikation, autentifikation og autorisation.

2) Det er noget sludder, at jeg nævner tre autentifikationsmetoder. Jeg nævner to: 1. noget man ved (en eller anden form for kodeord) og 2. noget man har (en eller anden form form nøgle/token). Jeg skriver eksplicit, at biometri er en identifikationsmetode, ikke en autentifikationsmetode. Læs fx Bruce Schneier eller Steve Riley, hvis du er i tvivl.

3) Mit oprindelige spørgsmål, om nogen kan nævne andre end de to autentifikationsmetoder, er derfor stadig ubesvaret.

4) Mit fornavn er "Knud Henrik".

M.v.h. Knud Henrik

Mit oprindelige spørgsmål, om nogen kan nævne andre end de to autentifikationsmetoder, er derfor stadig ubesvaret.

Noget man [b]gør[/b].

@Kim

Kender du til nogen konkrete implementeringer?

@Knud

Er det ikke underordnet?
Men ja, det gør jeg da....Checks og Dankort-notaer...Levering af anbefalet post... Der er mange konkrete implementeringer...

@Kim

Jeg kan i teorien forestille mig en del grundlæggende forskellige autentificeringsmetoder, som jeg dog aldrig har hørt om praktiske implementeringer af. Fx kunne man (formentlig) vha en (lang) række spørgsmål om holdninger og præferencer lave en profil over, hvem "man er". Men jeg har meget svært ved at se, hvordan man skulle kunne lave en praktisk implementation, som ikke ville være umådeligt tung at anvende. Derfor finder jeg det ikke underordnet, om der findes konkrete, praktisk anvendelige implementeringer.

Jeg antager, at du, når du nævner checks og dankortnotaer, som eksempler på autentifikation bygget på noget "man gør", tænker på underskriften. Kender du til nogen konkrete, praktisk anvendelige eksempler på implementation, hvor selve den underskriftsgenererende handling benyttes som autentifikationsmetode til et IT-system?

Du bliver nødt til at uddybe, hvordan du mener, at aflevering af anbefalet post skulle være en autentifikationsmetode bygget på noget "man gør". OK, hvis der IKKE er nogen hjemme, når postbuddet ringer på, så skal du på posthuset og aflevere en underskrift, hvorved vi er tilbage til diskussionen ovenfor. Men hvis der ER nogen hjemme, så kan hvem som helst modtage det anbefalede brev - og så er der jo ikke megen autentifikation i det. Og i øvrigt er det lidt upraktisk at skulle afvente og modtage et anbefalet brev, hver gang man skal logge på et IT-system.

@Knud

Dit spørgsmål gik på om der var nogen, der kunne nævne andre metoder, end dem du tidligere nævnte.
Til det spørgsmål er svaret: Ja - noget man [b]gør[/b]

I den forbindelse er det vel underordnet om de benyttes, hvor meget de benyttes eller om de ikke benyttes. Fakta er at der findes ihvertfald tre metoder og ikke kun to, som du påstår.

Ang. anbefalet post så skal du indføre din underskrift på en pda, når posten bliver afleveret på din adresse. I tilfælde af tvivl om hvorvidt modtageren af den anbefalede post er den korrekte modtager eller ej, vil man bruge underskriften fra pda'en til autentifikation.
Hvis det ikke er IT-system, der benytter noget du [b]gør[/b] som metode til autentifikation...ja så ved jeg ærligt talt ikke hvad det er.