Blot to promille af passwords opfylder NASA-krav

22. januar 2010 kl. 11:067
Kun få promille af de stjålne passwords fra et indbrud i Rockyou.com's it-systemer var lange nok og bestod af store og små bogstaver og specialtegn. Det viser en analyse af de lækkede adgangskoder.
Artiklen er ældre end 30 dage

De fleste kender nok anbefalingerne til, hvordan en god adgangskode skal se ud. Men i praksis ser de fleste også stort på det. Sådan ser det i hvert fald ud i sikkerhedsfirmaet Impervas analyse af de omkring 32 millioner adgangskoder, som blev lækket efter et indbrud i systemerne hos Rockyou.com.

Blot to promille af adgangskoderne kunne leve op til to helt basale krav, som Imperva har lånt fra den amerikanske rumfartsorganisation NASA.

Det gælder kravet om, at adgangskoderne skal være på mindst otte tegn, og kravet om, at adgangskoden skal bestå af både store og små bogstaver, tal og specialtegn.

Lidt over 40 procent af adgangskoderne fra Rockyou.com bestod udelukkende af små bogstaver, og 30 procent var på seks eller færre tegn. Kun omkring halvdelen havde mere end syv tegn.

Artiklen fortsætter efter annoncen

Cirka 16 procent af adgangskoderne bestod udelukkende af tal. Ikke overraskende var det mest almindelige password da også '123456'. Det blev brugt af ikke færre end 290.000 ud af de 32 millioner brugere.

Analysen giver dermed resultater, som svarer til lignende analyser fra lister med stjålne adgangskoder. Det specielle i dette tilfælde er det meget store datasæt med 32 millioner brugeres passwords.

Rockyou.com er en tjeneste, som laver applikationer til sociale netværk som Facebook og Myspace.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
22. januar 2010 kl. 11:46

Ifølge dette dokument:www.hq.nasa.gov/itcd/documents/faq_hq_domain.docer kravene som følger:

Your new password must comply with the following Federal Desktop Core Configuration (FDCC) requirements:

  • The password must have a minimum of 12 characters.
  • The password must contain at least one character from at least three of the four following sets of characters:
  • Uppercase Letters (A, B, C, etc.)
  • Lowercase Letters (a, b, c, etc.),
  • Special Characters (~, !, @, #, $, etc.)
  • Numbers (1, 2, 3, etc.).
  • You may not reuse any of your previous 24 passwords.
3
22. januar 2010 kl. 12:11

Spøjst at der tilsyneladende ikke er noget krav om at nye passwords ikke må ligne tidligere passwords, men kun at de gamle ikke må genbruges direkte. Der skal nok være en del, der ender med at bruge den gode gamle tilgang med at tilføje et løbenummer til det sædvanlige password.

4
22. januar 2010 kl. 13:15

Fredag22Januar

Det er nemt at huske hvornår man sidst skiftede det.

6
22. januar 2010 kl. 13:48

At kravene til passwords er så høje at man er nød til at bruge PostIt notes til at huske dem... hvordan er det lige med til at øge sikkerheden?

... hvor var det nu lige jeg lagde min PostIt... den var her jo lige før...

  • Bjarne, som benytter elendige passwords... til gengæld kan jeg huske dem! :-)
5
22. januar 2010 kl. 13:44

Allerede da jeg i start 90'erne arbejdede på et offentligt kontor som sys-admin stod vi overfor dette problem med brugerne, som vi, via systemet "tvang" til at bruge mindst 8 tegn i deres passwords, og at de ikke kunne genbruge samme password to gange.

2
22. januar 2010 kl. 11:53

You may not reuse any of your previous 24 passwords.

Fedt.

7
22. januar 2010 kl. 15:14

Er det ikke ligemeget hvor længe man ikke må genbruge dem? Det angiver bare hvor mange cifre man sætter bagefter, løbende fra 01 naturligvis. :-)

Men det er til gengæld smart at stramme skruen rigtigt meget mht. kompleksitet, for så kan man altid finde en postit under tastaturet hos alle brugere. (hvis man skulle mangle et password)