Sikkerhedsspecialist dumper måling af password-styrke på hjemmesider

Det står sløjt til med kvaliteten af web-værktøjer, der rater styrken af de kodeord, brugere vælger.
Illustration: renwalker.com

I forbindelse med oprettelsen af en ny konto anvender flere hjemmesider værktøjer, der fortæller brugeren, om det kodeord, han eller hun er ved at vælge, er godt eller dårligt. Pointen er at undgå, at brugerne vælger for svage kodeord. Men værktøjerne er ifølge Mark Stockley fra Compound Eye ikke gode.

Det fortæller The Register.

Stockley har undersøgt dueligheden af fem udbredte programmer til vurdering af kodeordsstyrken. Og de forhindrer ikke dårlige kodeord i at blive anvendt, konkluderer han.

»Du kan ikke stole på kodeord-styrke-målere på hjemmesider,« fortæller Stockley i et indlæg på Naked Security.

»Kodeordene, som jeg brugte i testen, er alle, bevidst, fuldstændigt forfærdelige ... de er valgt ud fra en liste med de 10.000 mest almindelige kodeord og har karakteristika, som jeg tænkte, kodeordsmålerne nok ville overvurdere.«

Stockley påpeger, at kodeordsmålerne ser på kompleksiteten af karakterer, men værktøjerne fejler, når det gælder om at spotte kombinationer, der uden videre kan gættes, såsom populære kodeord og klichéfyldte kombinationer.

Således vurderede flere af målerne, at ‘abc123’, ‘trustno1’, ‘ncc1701’ (registreringsnummeret på USS Enterprise i Star Trek-universet), 'iloveyou!' og 'primetime21' var acceptable.

Og for at bekræfte sin antagelse om, at kodeordene er for dårlige, satte Stockley dem op mod open source-kodeordsknækkeren John the Ripper. De blev knækket stort set omgående, beretter han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Jensen

Hvad er et godt kodeord? Hvad er en god baseline for gode kodeord på en given hjemmeside/webtjeneste?

Hvem vurderer hvad der er "godt nok" til en given hjemmeside? - brugerne? websitets bagmænd? Et hold forskere?

Er det "godt" hvis websitet har en god og anerkendt password-måler, der sikrer virkelig gode og komplekse passwords, hvis sitet lagrer dem i klartekst, transmitterer dem uden ssl/tls, og måske har forskellige sårbarheder, der gør at angribere kan trække koderne ud af systemet?

Er det "godt" med en solid og kompleks kode, hvis brugerne har anvendt samme password andre steder?

Er det "okay" med slappe passwords og password-målere, hvis sitet har to-faktor-auth, fornuftig IPS mm.?

Det er en kompleks størrelse efterhånden, det der med passwords.

  • 5
  • 0
#4 Bent Jensen

Som ikke er komprimereret ved indbrud, og har en tilpas antal ciffer og kompleksitet , er vel lige så godt som et nyt ? Faren ved at skulle skiftet tit, er jo at man kan glemme det, og der for er mere tilskyndet til at skrive det ned, eller lave det simpel, så det kan huskes.

Det er mere vigtigt ikke at genbruge det på tværs af platforme og applikationer. Så må de forskellige programmer med 2 factor, og godkendelse (afvisning) af nye enheder stå for den mere avanceret sikkerhed.

En password husker, igen hvis den skal være i skyen kan ikke bruges, da det igen som med genbrug af password, er at lægge alle æggene i en kurv. Hvis den igen så kun findes lokal, er den ikke særligt anvendeligt hvis man har flere enheder.

Så som artikkelen skriver, password er noget "svært noget".

Men personligt er jeg mere øm over min mail konto, end nem id. Her findes der adgang til de fleste af mine ting. Hvis man beder om at få password tilsendt, så her køre jeg med max sikkerhed. Så det er min "kurv", selv om jeg har lavet et par stykker, også for at udskille privat liv og arbejde.

  • 0
  • 0
#5 Casper Olsen

Jeg forstår ikke hvordan i kan glemme/overse det faktum at han har udvalg de fem første der kom frem på google når han søgte på ‘jQuery strength meter’, plus zxcvbn. Han tester altså 6 systemer og zxcvbn er den eneste, som flagger alle som "Very weak".

The ringer, zxcvbn, identified the five passwords as very weak but none of the first five password strength meters I plucked out of Google did.

  • 0
  • 0
#6 Martin Sørensen

Jeg har oplevet noget lignende for nyligt, dog den anden vej.

Jeg genererede et tilfældigt 24 karakter langt alfanumerisk password til en ny bruger på en hjemmeside, men det ville den ikke acceptere da det åbenbart var for simpelt. Det indeholdt en tilfældig blanding af store/små bogstaver samt tal, så man skulle tro det var fint. Jeg prøvede med flere forskellige, men det var aldrig godt. Jeg tror at længden forvirrede den. Jeg skrev så blot manuelt et simpelt 8 cifret password med 6 små bogstaver, ét stort samt ét tal. Det kunne den forholde sig til og det var åbenbart godt nok. Derefter kunne jeg gå ind og ændre det til et 24 karakters tilfældigt genereret password som jeg ville have haft fra starten..

Nogle sider kan slet ikke håndtere så lange passwords og helt slemt er det når de umiddelbart accepterer det lange password, men hvor man så ikke efterfølgende kan bruge det til at logge ind fordi det åbenbart bliver 'klippet' et sted i systemet.

  • 3
  • 0
#9 Jan Nøhr Pedersen

Jeg synes at det er et grundlæggende problem, at login systemer tillader brute force forsøg.

Det burde være sådan, at login system afviser flere på hinanden følgende forkerte kodeord.

Der er jo mange måder at sikre et system mod brute force. F. eks. - eksponentiel stigende pauser - anvendelse af 2 faktor login - deaktivering af kodeordet efter et antal forsøg, med efterfølgende mail med nyt midlertidigt kodeord. - o.s.v

  • 0
  • 0
#10 Toke Ivø

Der er sjældent tale om at brute force er "tilladt". Der sker dog, at "en person" får fat på et database/website dump. Herefter er det bare at teste løs, og se hvordan "per@org.dk"s kodeord endte med at blive til "abf783-abbff3882-aacb21". Dette kan gøres via brute force metoden (test 1: "password123" + website regler = xxx, test 2: "passwordPer" + website regler = yyy, osv... ) indtil man rammer det ønskede resultat. Herefter logger man bare ind i systemet på 1 forsøg. Selv hvis brugeren har skiftet password i mellemtiden, prøver man bare en af de 4000 andre brugere man nu har adgang til.

Sikkerheden handler om meget andet end bare systemets login procedure. (Men det kan sagtens være hér problemet starter)

  • 0
  • 0
Log ind eller Opret konto for at kommentere