Britiske myndigheder: Drop vrøvle-koder og brug tre-ords-kombinationer

9. august 2021 kl. 13:0325
Britiske myndigheder: Drop vrøvle-koder og brug tre-ords-kombinationer
Illustration: xkcd (Creative Commons (CC BY-NC 2.5)).
Officielle password-råd skal få briterne til at gøre op med koder som pA55W0rd!
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En ny officiel anbefaling fra de britiske cybersikkerhedsmyndigheder i the National Cyber Security Centre (NCSC) forsøger at gøre hvad sikkerhedskonsulenter, memes og xkcd-tegninger har fejlet med før dem: At tage livet af de komplicerede kombinationer af tal, bogstaver og tegn, der udgør mange menneskers passwords i dag.

Det skriver The Guardian på baggrund af et blogindlæg fra NCSC.

Logikken bag anbefalingen er, at en kombination af tre almindelige ord i en tilfældig rækkefølge er nemmere at huske for mennesker uden at være lettere for hackeres it-systemer at gætte.

Blandt andet påpeger NCSC, at it-kriminelle går målrettet efter de metoder, mange bruger til at klemme tal og tegn ind i almindelige ord, såsom at erstatte bogstaver med tal eller tegn, der ligner dem. Det er med til at underminere sikkerheden i mange nuværende passwords, påpeger NCSC.

Artiklen fortsætter efter annoncen

»Det er kontraintuitivt, at håndhævelsen af disse kompleksitetskrav resulterer i, at der skabes mere forudsigelige adgangskoder,« konkluderer NCSC blandt andet i sit blogindlæg.

Der kan dog også komme svage passwords ud af denne strategi, påpeger NCSC. Det er imidlertid også tilfældet med kompleksitetskrav fra virksomheder og tjenesteudbydere, som vi kender dem i dag. Derfor opfordrer myndigheden til mere diversitet i passwordvalg ud fra idéen om, at det vil øge antallet af passwords, en hackersoftware skal gætte på for at ramme rigtigt.

Herunder et gensyn med forklaringen af problemet fra xkcd:

25 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
25
13. august 2021 kl. 11:10

Der mangler jo Æ/Ø/Å på tastaturerne dernede.

I Win10: Skift input til dansk keyboard Run -> cmd -> osk

Værsgo, et dansk on screen keybord...

Jeg er ret overbevist om at det også nemt kan findes frem på div. Linux distro og på iOS. Hvis ikke er der masser af virtuelle keyboard apps som kan installeres.

23
13. august 2021 kl. 06:45

Benytter desuden Unicode i password eks. “1Ært_er_grøn” da 99,9 % af alle de angreb jeg har observeret ikke er fra Danmark (danske exit servere).

Ja Unicode virker fint sålænge man bruger eget grej til at logge på med.

Har en kammerat som havde lidt svært ved at logge på netbank fra en netcafe under et besøg i Australien for mange år siden. Der mangler jo Æ/Ø/Å på tastaturerne dernede. Og banken var lidt svær at oveetale til at ændre koden via telefon.

/Henning

22
12. august 2021 kl. 21:58

Har skrevet min egen password manager i Python, som er på et SD kort som jeg altid har i tegnebogen (det er dog lidt mindre conveinient, end noget der er i skyen med apps til alle devices og alle browsere)

Har dog også overvejet PASS som kan sync til Github.

Benytter desuden Unicode i password eks. “1Ært_er_grøn” da 99,9 % af alle de angreb jeg har observeret ikke er fra Danmark (danske exit servere).

19
12. august 2021 kl. 09:17

En mulighed for at gøre det endnu vanskeligere at gætte, er at benytte flere sprog.

Er der nogen som har hørt om brute-force forsøg, hvor der benyttes ordbøger på flere sprog, altså ud over gængse importord?

DuKanTrækkeÉnBeauPherdTilTruget

18
11. august 2021 kl. 11:20

Det fortælles (!), at under 1. Verdenskrig benyttede tyskerne chifferkryptering baseret på tabeller og et nøgleord (det må have været ved fronten, zeppelinere og flåden benyttede større systemer). Nøgleordene var ofte lette at gætte, da de var meget nationale.

17
11. august 2021 kl. 08:29

Jeg er min egen"password manager" jeg kunne aldrig finde pa at bruge et stykke software til at genere mine koder så doven er jeg ikke....

Og jeg tror personlig at pas phrase kan gå hen og gøre mange mennesker dovne da de fleste nok bare tænker noget i stil med "HorseCorrectPassword" er fint nok men alle disse ord kan sagtens blive smidt sammen i en pass wordlist uden noget problem hvor i forhold til "MFDJVDGR294373SGKYDGNXTAJXGHDLagkageMedOstehapsHE :/#&%(&? :#236RCYRHS53d524(-36"
Som nok ikke står i en nogen wordlist

Men det er selvfølgelig hellere ikke lige så nem og sjov at taste ind som "HorseCorrectPassword"

16
11. august 2021 kl. 06:46

Problemet med standardfraser og faste vendinger kan løses med diceware. Det er meget sjovere at lave passwords ved at kaste terninger end så meget andet, og hvis ellers man sætter krav til sig selv i forhold til entropi giver det hurtigt gode passwords. EFF har en god wordlist til formålet.

Mit foretrukne setup er en god passwordmanager kombineret med diceware til det der ikke kan klares med den - ikke mindst passwordet til passwordmanageren.

15
10. august 2021 kl. 19:21

Der findes også password managere, som ikke har en dyt med nettet at gøre og kun kører lokalt, som fx. "Password Safe", som også kan have to faktor login med Yubikey og passphrase.

14
10. august 2021 kl. 17:57

Hvis man skriver en ganske almindelig sætning der kun giver mening for dig selv tror jeg de fleste algoritmer giver op. Pass Word bliver ikke mere sikre af at være svære at huske.....

13
10. august 2021 kl. 17:42

... holde op med at kræve passwords skiftet hver 3. måned?

Sikkerhedsprofessionelle er vist enige om at det er en uskik...

Og det gør for mig i hvert fald at jeg er tilbøjelig til at bruge/vælge skodpasswords når jeg ved at det snart skal skiftes igen. Eller værre: jeg laver en variation af det forrige password...

12
10. august 2021 kl. 17:30

Ellers, i relation til at huske. En kendt hukommelses-teknik er at huske kombinationen af ord, som i handlinger / billeder.

Tak, jeg havde glemt den teknik. Oprindelig var det vist noget i retning af: Forestil dig et stort hus. Du går ind af døren og skal have fat i koden til din bank. Du går derfor ned ad kældertrappen, hvor du først møder en skildvagt, så et låst gitter inden du når til pengekisten. Ergo: trappe-skildvagt-gitter-kiste. Mere sikkert vil det naturligvis være, hvis der står en udstoppet gris oven på kisten. Og meget nemmere at huske.

11
10. august 2021 kl. 16:14

^https://webbkoll.dataskydd.net/en

10
10. august 2021 kl. 16:04

Nogle kodeord er bedst ikke, at gemme digitalt. Men for de fleste kodeord er en password manager og/eller en Yubikey den bedste løsning.

^Med hvilken udbyder man vælger kan tilvælges eller fravælges forskellige funktioner, som øger sikkerheden (som automatisk sletning af udklipsholder, auto-lås osv.) eller øge brugervenligheden, men mindske en smule på sikkerheden (som Auto-fill on Page Load).

En god idé at tjekke, udover de features, som udbyderne selv beskriver. Så kan det være en god idé, at tjekke deres hjemmesider og apps for trackers. Det er ofte en god medindikator (dog ikke udelukkende!) for deres interesse i sikkerheden. • https://reports.exodus-privacy.eu.org/en/https://themarkup.org/blacklight

Ellers, i relation til at huske. En kendt hukommelses-teknik er at huske kombinationen af ord, som i handlinger / billeder. Ellers indtaste/ skrive koderne på tastaturet og skrive dem i hånden, så mange gange som muligt. Så indlejrer det sig ofte.

9
10. august 2021 kl. 15:33

@Bjarne - nu er Trend jo ikke den eneste Password manager med problemer. Kaspersky er også på den liste.

Så tror jeg mere på MFA som du foreslår - workflow'ed er de fleste vant til med NemID, BankID m.fl. fra deres private liv og sandsynligvis også gennem MS og Googles Authenticators eller Citrix MFA fra deres arbejde.

8
10. august 2021 kl. 14:54

Ordene skal ikke kunne hænge sammen, så ryger entropien igen.

Men så rygert muligheden for at huske det også.

"ceder-agurk-guld-sko-blomst" kan jo permuteres (forvirres) på mange måder. Og det er det samme problem med længere og færre ord. "skomagerdreng-kiksekage-blodprop" (okay, den er måske til at huske). Men var det nu blodprop eller slagtilfælde? Og så skal vi lige have "4711!" hægtet bagpå (men her må genbrug være til at leve med).

Passwordmanager? Jeg er begyndt at bruge en, så måske bliver jeg glad for den. Der skal dog nok være systemer, hvor copy-paste ikke fungerer helt problemfrit. F.eks. maskiner, hvor man bare ikke må installere egen software (passwordmanager). Så skal password kunne skrives af uden alt for mange kvaler.

7
10. august 2021 kl. 14:34

Er det denneher?

Hvis man vælger i den solide ende, så vil vi ikke-androide humanoider være væsentligt bedre stillet med en password-manager end hvis vi selv skulle til at konstruere tilpast unikke passwords af tilstækkelig kompleksitet (og huske dem!) i alle de situationer, hvor vi bliver afkrævet et sådant.

Også selvom password managers langtfra er perfekte. F.eks. er passwords mere eller mindre i klartekst i hukommelsen sålænge de er låst op og er kørende, med hvad det giver af muligheder for angreb.

Byrden kunne også reduceres, hvis der i højere grad blev brugt single-signon (men det er heller ikke uproblematisk) eller multi-faktor. Jeg tvivler dog på, at vi nogensinde kommer til helt at kunne undvære dem.

Jeg har i hvertfald for længst opgivet at klare mig uden, også selvom der er få konkrete situationer, hvor trusselbilledet gør at papirlappen er at foretrække. Det gør, at antallet, som kun findes i mit hovede og bruges ofte nok til, at de bliver der, er reduceret til en menneskelig overkommelig mængde.

...lad ikke ønsket om perfektion stå i vejen for det mulige.

6
10. august 2021 kl. 13:19

Umiddelbart en anbefaling, der bliver svær at følge, eftersom de fleste logins kræver et password af forskellig længde, små og store bogstaver samt specialtegn som jo gør det umuligt at følge opfordringen.

4
10. august 2021 kl. 13:00

Ordene skal ikke kunne hænge sammen, så ryger entropien igen. XKCD tegningen er lavet med en antagelse om at man vælger mellem de 2000 mest almindelige engelske ord, men i tilfældig sammensætning.

3
10. august 2021 kl. 12:41

Jeg har brugt en password manager i mindst 10 år og har indstillet mig på ALTID at skulle copy-paste fra den. Passwords er computergenererede. Har vænnet mig til det - men har opgivet at at få andre til at tænke ligeså.

2
10. august 2021 kl. 12:28

Jeg kunne godt tænke mig at vide hvad i andre synes om brugen af Password managers?

1
10. august 2021 kl. 11:56

Jeg har efterhånden nemmere ved at huske vrøvlekoder end hele ordremser, ordremser giver så meget mening, at man let kan komme til at skifte et ord ud. Andre har det måske på samme måde. Så den næste adgang for hackerne bliver citater fra Shakespeare? Eller andre lignende standardfraser?

SomethingIsRotten

WhatsInAName

MadnessInHighOnes

YetThereIsMethodInIt

MoreMatterLessArt

ORomeoWhereforeArtThouRomeo

OutDamnedSpotOutISay

SomethingWickedThisWayComes

AllHailMacbeth