Britiske myndigheder: Drop vrøvle-koder og brug tre-ords-kombinationer

Illustration: xkcd (Creative Commons (CC BY-NC 2.5))
Officielle password-råd skal få briterne til at gøre op med koder som pA55W0rd!

En ny officiel anbefaling fra de britiske cybersikkerhedsmyndigheder i the National Cyber Security Centre (NCSC) forsøger at gøre hvad sikkerhedskonsulenter, memes og xkcd-tegninger har fejlet med før dem: At tage livet af de komplicerede kombinationer af tal, bogstaver og tegn, der udgør mange menneskers passwords i dag.

Det skriver The Guardian på baggrund af et blogindlæg fra NCSC.

Logikken bag anbefalingen er, at en kombination af tre almindelige ord i en tilfældig rækkefølge er nemmere at huske for mennesker uden at være lettere for hackeres it-systemer at gætte.

Blandt andet påpeger NCSC, at it-kriminelle går målrettet efter de metoder, mange bruger til at klemme tal og tegn ind i almindelige ord, såsom at erstatte bogstaver med tal eller tegn, der ligner dem. Det er med til at underminere sikkerheden i mange nuværende passwords, påpeger NCSC.

»Det er kontraintuitivt, at håndhævelsen af disse kompleksitetskrav resulterer i, at der skabes mere forudsigelige adgangskoder,« konkluderer NCSC blandt andet i sit blogindlæg.

Der kan dog også komme svage passwords ud af denne strategi, påpeger NCSC. Det er imidlertid også tilfældet med kompleksitetskrav fra virksomheder og tjenesteudbydere, som vi kender dem i dag. Derfor opfordrer myndigheden til mere diversitet i passwordvalg ud fra idéen om, at det vil øge antallet af passwords, en hackersoftware skal gætte på for at ramme rigtigt.

Herunder et gensyn med forklaringen af problemet fra xkcd:

Illustration: xkcd (Creative Commons (CC BY-NC 2.5))
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Ditlev Petersen

Jeg har efterhånden nemmere ved at huske vrøvlekoder end hele ordremser, ordremser giver så meget mening, at man let kan komme til at skifte et ord ud. Andre har det måske på samme måde. Så den næste adgang for hackerne bliver citater fra Shakespeare? Eller andre lignende standardfraser?

SomethingIsRotten

WhatsInAName

MadnessInHighOnes

YetThereIsMethodInIt

MoreMatterLessArt

ORomeoWhereforeArtThouRomeo

OutDamnedSpotOutISay

SomethingWickedThisWayComes

AllHailMacbeth

  • 4
  • 0
#7 Bjarne Nielsen

Er det denneher?

Hvis man vælger i den solide ende, så vil vi ikke-androide humanoider være væsentligt bedre stillet med en password-manager end hvis vi selv skulle til at konstruere tilpast unikke passwords af tilstækkelig kompleksitet (og huske dem!) i alle de situationer, hvor vi bliver afkrævet et sådant.

Også selvom password managers langtfra er perfekte. F.eks. er passwords mere eller mindre i klartekst i hukommelsen sålænge de er låst op og er kørende, med hvad det giver af muligheder for angreb.

Byrden kunne også reduceres, hvis der i højere grad blev brugt single-signon (men det er heller ikke uproblematisk) eller multi-faktor. Jeg tvivler dog på, at vi nogensinde kommer til helt at kunne undvære dem.

Jeg har i hvertfald for længst opgivet at klare mig uden, også selvom der er få konkrete situationer, hvor trusselbilledet gør at papirlappen er at foretrække. Det gør, at antallet, som kun findes i mit hovede og bruges ofte nok til, at de bliver der, er reduceret til en menneskelig overkommelig mængde.

...lad ikke ønsket om perfektion stå i vejen for det mulige.

  • 5
  • 1
#8 Ditlev Petersen

Ordene skal ikke kunne hænge sammen, så ryger entropien igen.

Men så rygert muligheden for at huske det også.

"ceder-agurk-guld-sko-blomst" kan jo permuteres (forvirres) på mange måder. Og det er det samme problem med længere og færre ord. "skomagerdreng-kiksekage-blodprop" (okay, den er måske til at huske). Men var det nu blodprop eller slagtilfælde? Og så skal vi lige have "4711!" hægtet bagpå (men her må genbrug være til at leve med).

Passwordmanager? Jeg er begyndt at bruge en, så måske bliver jeg glad for den. Der skal dog nok være systemer, hvor copy-paste ikke fungerer helt problemfrit. F.eks. maskiner, hvor man bare ikke må installere egen software (passwordmanager). Så skal password kunne skrives af uden alt for mange kvaler.

  • 1
  • 0
#9 Palle Simonsen

@Bjarne - nu er Trend jo ikke den eneste Password manager med problemer. Kaspersky er også på den liste.

Så tror jeg mere på MFA som du foreslår - workflow'ed er de fleste vant til med NemID, BankID m.fl. fra deres private liv og sandsynligvis også gennem MS og Googles Authenticators eller Citrix MFA fra deres arbejde.

  • 0
  • 0
#10 Emil Bock Nielsen

Nogle kodeord er bedst ikke, at gemme digitalt. Men for de fleste kodeord er en password manager og/eller en Yubikey den bedste løsning.

^Med hvilken udbyder man vælger kan tilvælges eller fravælges forskellige funktioner, som øger sikkerheden (som automatisk sletning af udklipsholder, auto-lås osv.) eller øge brugervenligheden, men mindske en smule på sikkerheden (som Auto-fill on Page Load).

En god idé at tjekke, udover de features, som udbyderne selv beskriver. Så kan det være en god idé, at tjekke deres hjemmesider og apps for trackers. Det er ofte en god medindikator (dog ikke udelukkende!) for deres interesse i sikkerheden. • https://reports.exodus-privacy.eu.org/en/https://themarkup.org/blacklight

Ellers, i relation til at huske. En kendt hukommelses-teknik er at huske kombinationen af ord, som i handlinger / billeder. Ellers indtaste/ skrive koderne på tastaturet og skrive dem i hånden, så mange gange som muligt. Så indlejrer det sig ofte.

  • 1
  • 0
#12 Ditlev Petersen

Ellers, i relation til at huske. En kendt hukommelses-teknik er at huske kombinationen af ord, som i handlinger / billeder.

Tak, jeg havde glemt den teknik. Oprindelig var det vist noget i retning af: Forestil dig et stort hus. Du går ind af døren og skal have fat i koden til din bank. Du går derfor ned ad kældertrappen, hvor du først møder en skildvagt, så et låst gitter inden du når til pengekisten. Ergo: trappe-skildvagt-gitter-kiste. Mere sikkert vil det naturligvis være, hvis der står en udstoppet gris oven på kisten. Og meget nemmere at huske.

  • 3
  • 0
#13 Peter Valdemar Mørch

... holde op med at kræve passwords skiftet hver 3. måned?

Sikkerhedsprofessionelle er vist enige om at det er en uskik...

Og det gør for mig i hvert fald at jeg er tilbøjelig til at bruge/vælge skodpasswords når jeg ved at det snart skal skiftes igen. Eller værre: jeg laver en variation af det forrige password...

  • 14
  • 0
#16 Thomas Alexander Frederiksen

Problemet med standardfraser og faste vendinger kan løses med diceware. Det er meget sjovere at lave passwords ved at kaste terninger end så meget andet, og hvis ellers man sætter krav til sig selv i forhold til entropi giver det hurtigt gode passwords. EFF har en god wordlist til formålet.

Mit foretrukne setup er en god passwordmanager kombineret med diceware til det der ikke kan klares med den - ikke mindst passwordet til passwordmanageren.

  • 0
  • 0
#17 Jonas Monk

Jeg er min egen"password manager" jeg kunne aldrig finde pa at bruge et stykke software til at genere mine koder så doven er jeg ikke....

Og jeg tror personlig at pas phrase kan gå hen og gøre mange mennesker dovne da de fleste nok bare tænker noget i stil med "HorseCorrectPassword" er fint nok men alle disse ord kan sagtens blive smidt sammen i en pass wordlist uden noget problem hvor i forhold til "MFDJVDGR294373SGKYDGNXTAJXGHDLagkageMedOstehapsHE :/#&%(&? :#236RCYRHS53d524(-36" Som nok ikke står i en nogen wordlist

Men det er selvfølgelig hellere ikke lige så nem og sjov at taste ind som "HorseCorrectPassword"

  • 0
  • 6
#18 Ditlev Petersen

Det fortælles (!), at under 1. Verdenskrig benyttede tyskerne chifferkryptering baseret på tabeller og et nøgleord (det må have været ved fronten, zeppelinere og flåden benyttede større systemer). Nøgleordene var ofte lette at gætte, da de var meget nationale.

  • 0
  • 0
#19 Allan S. K. Frederiksen

En mulighed for at gøre det endnu vanskeligere at gætte, er at benytte flere sprog.

Er der nogen som har hørt om brute-force forsøg, hvor der benyttes ordbøger på flere sprog, altså ud over gængse importord?

DuKanTrækkeÉnBeauPherdTilTruget

  • 0
  • 0
#20 John Sixten
  • 0
  • 0
#22 Rune Hansen

Har skrevet min egen password manager i Python, som er på et SD kort som jeg altid har i tegnebogen (det er dog lidt mindre conveinient, end noget der er i skyen med apps til alle devices og alle browsere)

Har dog også overvejet PASS som kan sync til Github.

Benytter desuden Unicode i password eks. “1Ært_er_grøn” da 99,9 % af alle de angreb jeg har observeret ikke er fra Danmark (danske exit servere).

  • 0
  • 0
#23 Henning Wangerin

Benytter desuden Unicode i password eks. “1Ært_er_grøn” da 99,9 % af alle de angreb jeg har observeret ikke er fra Danmark (danske exit servere).

Ja Unicode virker fint sålænge man bruger eget grej til at logge på med.

Har en kammerat som havde lidt svært ved at logge på netbank fra en netcafe under et besøg i Australien for mange år siden. Der mangler jo Æ/Ø/Å på tastaturerne dernede. Og banken var lidt svær at oveetale til at ændre koden via telefon.

/Henning

  • 0
  • 0
Log ind eller Opret konto for at kommentere