»Vi er nødt til at gøre op med dårlige adgangskoder, der anvendes på tværs af tjenester, for det er et alvorligt og meget konstant sikkerhedsproblem.«
Det skriver Henrik Larsen, der er chef for DKCert, i en klumme på organisationens web.
Rådet for Digital sikkerhed kommer med retningslinjer på området senere på året.
Så klummen udtrykker Henrik Larsens egne holdninger, understreger han.
Ansvaret for et godt password har hidtil ligget hos brugeren, anfører DKCert-chefen, men den praksis ser han gerne ændre sig i retning af, at tjenesteudbyderen - f.eks. Facebook, Google eller Den Blå Avis - drages mere ind i billedet.
»Længden af dit password kommer i fremtiden til at betyde mere end store bogstaver, tal eller specialtegn, som prioriteres højt i dag.«
Med den computerkraft, der er til rådighed gennem de kriminelles botnet, kan de korte adgangskoder hurtigt knækkes, advarer han - uanset om der er brugt store eller små bogstaver.
»Men i takt med, at længden på din adgangskode øges, øges de kriminelles regne-tider også markant, hvilket giver bedre sikkerhed.«
12 til 64 tegn
»Kravet om komplekse passwords, regelmæssig udskiftning og sikring har faktisk vist sig ikke at have den ønskede effekt, hvilket kræver nye anbefalinger, der gør op med den nuværende best practice.«
Et nyt krav til tjenesteudbyderen kan være, at der er regler for længden på et password.
»Min holdning er mindst 12 (men gerne 20 tegn) og måske helt op til 64 tegn, hvis der er strenge sikkerhedskrav. Hvis du bruger genkendelige ord eller sætninger i din adgangskode, kan det åbne for de såkaldte dictionary attacks, men benyttes eksempelvis en password manager til at skabe adgangskoderne, så udelukkes denne type angreb også,« skriver Henrik Larsen.
Anbefalingerne siger til gengæld, at der ikke skal være krav om specialtegn, tal eller andet, og man kan også droppe krav om udskiftning af adgangskoder, eksempelvis hver tredje måned.
På den måde skal brugeren ikke huske nye/tildelte adgangskoder, men kan selv finde en kode, der kan huskes, og som vel at mærke ikke behøver at blive skrevet ned på en gul lap, der klistres fast på skærmen.
»Tjenesteudbyder skal sørge for, at der kun er et begrænset antal login-forsøg til rådighed og i øvrigt droppe usikre sikkerhedsspørgsmål som 'Hvad hedder din mor?'. På den måde undgår man kompromitteringer ad den vej,« anfører Henrik Larsen.
Ligeledes bør en tjeneste altid bede sine brugere om at skifte password, hvis der er den mindste mistanke om kompromittering af password-databasen.
Adgangskoder må ikke genbruges
Brugeren har selvfølgelig også et ansvar, påpeger Henrik Larsen - eksempelvis er det helt afgørende, at adgangskoder ikke genbruges på tværs af tjenester.
»Derved undgår du en kaskade-effekt, hvor et mistet password rammer bredt i dit digitale liv. Desuden bør det være en klar anbefaling, at to-faktorsikkerhed altid anvendes, hvis der er mulighed for det.«
Han tilføjer, at også brugen af login-tjenester, hvor Facebook eksempelvis anvendes som adgang til andre tjenester, bør vurderes. Ulempen er her, at man bliver afhængig af de sikkerhedsniveau, som disse tjenester tilbyder.
En simplificering af password-anbefalingerne er ikke kun et dansk fænomen, men bygger på internationale retningslinjer som eksempelvis i den nyeste NIST-standard og retningslinjer fra de britiske myndigheder.
IT-kriminelle er næppe interesseret i at bruge en masse penge på at knække min kode til min DBA konto ...
Hvis der er begrænsninger på antal login forsøg, enten antal gange eller hastighed, så kan selv den hurtigste computer ikke knække et forholdsvis kort password på fornuftig tid.
Problemet opstår når en password fil bliver stjålet, så kan en hurtig computer afprøve mange kombinationer på kort tid.
Så 12+ tegns password er beskyttelse mod stjålne password filer.
Det har du givet vis ret i. Men det er også oftere og oftere at man hører om database læk. Så den anbefaling lyder helt legit. Det betyder så bare at folk bliver nødt til at bruge password managers - og helst ikke dem på post-its.
Folk giver dem glædeligt ud, og det er mere og mere normalt at man skal ind med credentials for at kunne læse vedhæftede filer m.m.
Jeg arbejder på et skriv om en serie af services hvor brugeren indtaster credentials i et 3die parts program, som så, i stedet for at forbinde sig direkte til services pakker det hele ind i HTTPS til udviklerens servere, og herfra tilgår servicen. Så udvikler har adgang til credentials, kan hente historisk indhold, mens realtime indhold passerer gennem udbyders server.
Vi taler om en serviceudbyder, mange firmanavne og apps. 10+ mio downloads af en enkelt af disse apps, 1+ mio på samme/lignende apps gennem andre firmaer.
Så hvis slutbruger ikke anvender de officielle apps, men vil bruge noget andet, så har vi tabt uanset passwordlængde.
Er det indbildning, at det vil være sværere at cracke passwords med vore sære skrifttegn i Danmark? Sikkert kun lidt sværere, men ....?
Vi taler om eksponentiel vækst i problemets hårdhed. Så er der altså et stykke vej fra 12 til 64 tegn. Min fornemmelse er, at 64 tegn er nytteløst overkill.
I stedet bør man kigge på supplerende mekanismer. Tokens, biometri, lokalisering eller andet.
Helst skal passwords helt uddø.
Er vel i denne online verden, når vi taler private, så sikrere end alverdens password manager. Da adgangen til kræver fysisk adgang og indbrud ?
En sortbog kan også fjernes, eller skjules ved evt at sætte den ind i boghylden for dem som har en sådan.
Men (automatisk og nemt) 2 faktor er nok på sigt bedre, eller en form for token som alle platforme vil acceptere. Men så ender vi måske op med alle æggene i en kurv.
Men godt at der sætte fokus på dette. Det bør så bare være på et medie hvor målgruppen til den helt slatten sikkerhed findes.
HUSK VIGTIGST PASSWORD SIKKERHEDSRÅD - GENBRUG IKKE PASSWORD PÅ TVÆRS AF PLATFORME.
Det burde være lovligt at tage dette på togvogne, og husmure :-)
Jeg har en fornemmelse af, at biometri ikke er godt nok. På et eller andet tidspunkt må irirskanningen (eller hvad det nu er) jo være repræsenteret som en samling "mystiske data" (inden det bliver krypteret og sendt videre). Kan man få fat i disse data, inden de krypteres (og det kan jeg ikke se, hvordan man kan forhindre), så kan dén person fakes.
Modsat Henrik Larsen har jeg cracket +500 mio. passwords.
Her er tiderne for bruteforce af 12 karakterer med og uden versaler, tal og specialtegn.
jegerenidiot - 4 uger
JegErEnIdiot - 300 år
JegEr1nIdiot - 3.000 år
!egEr1nIdiot - 34.000 år
Du skal bruge 16 karakterer i lowercase for samme beskyttelse som 12 karakterer med versal tal og specialtegn.
Problemet er at når du bruger en längere Passphrase i forhold til et kortere password, er du tilböjelig til bruge det som andre bruger.
Du tror, at netop du er vildt kreativ, men din hjerne er ensrettet gennem skolegang, tusindvis af reklamer og sociale medier.
Med hjälp af avanceret statisik kan du gätte de mest sandsynlige ordkombinationer i passphrases. Jeg taler ikke om dictionary attack. Men din hjerne vil välge jererenidiot frem for enidioterjeg
Hvis du bruger password manager er der jo intet problem med at huske specialkarakterer, versaler og tal.
Problemet med password managers er tilgengäld at de også er sårbare.
For nogle år siden læste jeg om en undersøgelse, hvor man opgjorde hvor lang tid, der gik, fra et password leak fandt sted til de pågældende passwords blev misbrugt. 50 % af de passwords, der blev misbrugt, blev det inden 24 timer. Efter 48 timer var misbruget stort døet hen.
Hvis argumentet for regelmæssige skift af password er, at det skal standse evt. misbrug, så skal password altså skiftes oftere end med 24 timers mellemrum. Én gang om måneden eller hver tredje måned har ingen som helst effekt. Det siger sig selv, at skift oftere end hver 24 timer i praksis vil sige engangs-passwords.
Password-politikker, der dikterer regelmæssige skift af password med 1-3 måneders mellemrum er simpelthen en misforståelse.
Og man som bruger ikke har den fjerneste ide om hvordan serviceudbyderen opbevare ens password (cleartext, sha1, md5, rc4 osv.)
Den menneskelig faktor er altid den svageste, så kræves lange kodeord, vil det altid blive valgt nemme at huske og/eller blive lagt ind i (usikkert) sted, hvor de nemt kan kopieres fra.
Brug 2-faktor. Så kan brugerens password (næsten) være lige så håbløst og genbrugt, som brugeren ønsker.
Man skifter ikke password for at undgå misbrug.
Man skifter password for at reducere risikoen for at nogen bruteforcer dit password (forudsætter at den hash'ede database over passwords er kompromitteret).
Hvis dit password kan bruteforces på 30 dage, skal du skifte password tidligere end de 30 dage.
Hvis bruteforce angrebet skal bruge 1000 år på at knække dit password (tager højde for udvikling i regnekraft mv.) behøver du ikke skrifte dit password.
Giver dig helt ret, hvis der ikke er tegn på sikkerhedsbrud , så vil jeg mene at man aldrig skal skifte password. Hvis vi ikke taler national sikkerhed/terrorisme/forskning men privatpersoner.
Et langt og "sikre" password som kun er brugt et sted, kan efter min mening, være lige så sikkert efter 20 år. Man kan sikkert huske det, så det ikke skal skrives ned.
En eller flere (skod mail) mail til brug på steder hvor man ikke kender sikkerheden, eller ikke har lyst til at få sin egen mail ud, er også en god ide.. Det er meget nemt at oprettet flere google konti til det, og du kan i dag tilgå dem fra samme browser vindu.
Dit regnestykke er forkert Knud, da alle verdens password ikke läkkes indenfor 24 timer.
Desuden mener jeg undersögelsen var fra hvornår leaket var public ikke fra dumptidspunkt.
LinkedIn var eksempelvis private og blev misbrugt i flere år. Ikke blot de 48 timer efter det blev public.
Jo, det er det. Jo større alfabet, jo sikrer bliver det. Ved en adgangskode længde på 12 tegn, og ved at tilføje æ, ø og å til a-z (alt sammen med småt) får du lidt over 100 000 000 000 000 000 flere kombinationer af adgangskoder. Bruger man til gengæld hele unicode som alfabet, så er der lidt over 1 million muligheder per tegn i ens adgangskode. Ved en længde på 12 giver det 10^72 mulige kombinationer. Det er mange nuller!
Tak for svar, Martin Storgaard Dieu.
Jeg tænkte - ud over kombinationsmulighederne - på, om en udenlandsk hacker typisk søger på æøå, da det vel kræver noget andet, end hvis man kun forsøger sig med engelske tegn?
Men selvfølgelig - en seriøs hacker inkluder vel alle tilgængelige skrifttegn og andre tegn i sin søgen - inkl. kinesiske og japanske, kunne jeg forstille mig.
Jeg forstår ikke helt hvorfor google og dba blandes ind i det her. Det er ikke med en supercomputer muligt at bruteforce en web service, da det afhænger af web servicen regnekapacitet.
Og hvis denne web service har en simpel hammering beskyttelse, så kan en pinkode på 4 cifre faktisk være en ganske god beskyttelse.
Fanden er først løs, hvis nogen får fat i denne web services hash af passwords, så kan man bruteforce den.
så jeg mener ikke vi skal til at have 64 tegns passwords for at logge på version2. Her er mine 10 tegn alt rigeligt, bare jeg ikke bruger password til noget andet som er vigtigt.
En post-it på skærmen med password hvor brugen har tilføjet 4 tegn bagefter som vedkommende husker i hovedet er meget mere sikker end en ret software baseret password manager. Software baserede password managers skaber falsk tryghed.
Det er ganske rigtigt at brute force hurtigt må give op hvis det er naiv brute force (jeg kan dog ikke genkende dine tal). Men hvis man fx. lavede permutationer af danske ord, herunder substitutioner af bogstaver med tal eller symboler, så falder kompleksiteten af problemet kraftigt.
Hvis man skal knække passwords, så er det fornuftigt at tage højde for at mennesker ikke kan huske tilfældige kombinationer af bogstaver, tal og symboler. At mennesker vil gå i retning af ord, sætninger, substitutioner, etc. I praksis kan mennesker ikke huske mere en 10-20 tilfældige cifre og endnu færre hvis der også er bogstaver og symboler med. Derfor vælger vi ikke tilfældigt.
Jeg synes Bruce Schneier har sagt det bedst:
Jeg så nu hellere at vi fik nogle hardware baserede authentication tokens. De kunne bruge bluetooth til mindre vigtige ting og wired connection når det er vigtigt. Fx. kunne login til banken kun kræve trådløs authentication, mens transaktioner større en X kunne kræve en wired forbindelse.
Og her kommer du så præcis ind til pudlens kerne.
For det er ikke brugen af korte passwords eller pinkoder for den sags skyld der er problemet, men at udbyderne af webservices sløser med sikkerheden, så der er risiko for at password filen stjæles.
Så det er altså ikke brugeren der skal dunkes i hovedet eller chikaneres (ud over selvfølgelig den helt oplagte at man aldrig bruger et password mere end et sted), men serviceudbyderne som i den grad skal til at tage sig sammen (GDPR, bål og brand mv.).
så længe både brugernavne og password lækkes forskellige steder
det er de da.. hvis din konto er NEMID valideret, de skifter email og kodeord - samt derefter begynder at kunne sælge varer de aldrig sender, i dit navn - fra NEMID-valideret konto. Det er skam allerede et problem i dag.
.. men skal ikke undervurdere hvor mange steder afskum kan tjene penge.
Michael Cederberg du har givetvis ret i at det er mere sikkert med en post it ved skærmen. Endnu mere med en A3 foldet sammen i lommen med adgangskoderne (så er der ikke nogen som kommer til at lægge et billede op på SoMe hvor de er synlige i baggrunden). Problemet er at så ryger alt der har noget med UX at gøre. Det skal jo gerne være sikkert, men også rigtig nem for slutbrugeren at benytte 🙃
Jeg frygter en fremtid med litanier af password - ret bogstaveligt vil folk begynde at lave 64 tegn for remser de kan uden ad: paternosterquiesincaelis..., avemariagratiaplenadominustecum..., iamthyfathersspiritdoomdforacertaintimetowalkthenight ...
De mere kreative vil nok kaste sig over Halfdan Rasmussen.
I hvert fald bliver det sjovere at være hacker. wearywithtoilihastemetomybedthedearreposetolimbswithtraveltired...
Nem-ID og mange andre, har gjort sig store anstrengelser for, at deres brugere ikke uforvarent kommer til at give nogen adgang til deres individuelle data. Ofte med ret besværlige login procedurer til følge. Men hvem bestemmer hvilke data, jeg ønsker at holde helt privat?
Desværre er der så megen fokus på det, at sikkerheden på selve serverne går lidt i glemmebogen. Det giver jo ellers adgang til samtlige brugeres data på en gang.
I mit univers er det største problem derfor, at der ikke fokuseres nok på sikkerhed på serverne. Brug den megen energi omkring passwords på at bygge sikre systemer på serverne i stedet.
Og hvad er nemmest - en Post-It, eller et rockerlangt password som man ikke kan huske, men skal hente fra en password keeper?
Kommer lidt an på hvad du mener med bruteforce. Der er offline og online bruteforce.
Offline bruteforce ala hashcat eller john the ripper med 100 mio. kombinatioiner i sek kan du ikke lave online.
Men online bruteforce ala credential stuffing er mulig mod webservices.
Eller distribueret bruteforce angrebet spredt udover tusindvis af IP adresser, er mulig mod webservices, og svärt at stoppe.
Nu skal jeg ikke give nogen gode ideer, men det er muligt at bruteforce mange popläre webservices med tusindvis af forsög i minuttet.
Jeg kan garantere dig for at en 4 cifret kode er ikke godt nok mod et online bruteforce forsög.
Jeg synes at Lastpass virker fint for mig. Når jeg er logget ind, så udfylder den automatisk brugernavn og adgangskode. Både på computer og Android telefon. Jeg skal ikke selv indtaste noget, finde adgangskoden for det site jeg er på. Jeg skal bare åbne login siden og trykke login.
Det nemmeste er at sjæle koden, frem for at prøve at bryde den.
En simpel e-mail hvor folk trykker på et sjovt billede er nok, men kan for den sags skyld også gøres på mange andre måder.
Der er mange måder til at cracke en kode og INTET er reelt set ubrydeligt, det er kun et spørgsmål om tid, og om ca 10 år kan al data som er gemt "i dag" brydes ret nemt via kvante computere og andre ting og sager.
Jeg er af den holdning at digitaliseringen af alt i DK er vores nutids Aspest skandale hvor man presser digitaliseringen igennem for at tjene penge, frem for at tænke sikkerhed.
( næste store katastrofe bliver højest sandsynligt Nano tech partikler som ophober sig i vores kroppe og skader os.. der er en interessant artikel vedr. hvordan nano tech dræber leverceller
https://ing.dk/artikel/dansk-studie-nano-cocktail-draeber-leverceller-pa... )
Det er meget muligt det virker fint, men sikkert er det ikke. Hvis jeg hacker din computer så har jeg alle dine passwords første gang du indtaster dit master password på computeren ...
Det er super så länge det ikke er kompromiteret. Jvf. artikel fra sidste år om lastpass.
https://www.version2.dk/artikel/tavis-ormandy-jeg-stod-badet-kom-paa-end...
Det er dog en helt anden sikkerhedsrisiko du har med Lastpass hvor du går over til at bruge unikke lange koder overalt. Hvis du genbruger koder så vil et hack på en tjeneste kunne medføre en sikkerhedsrisiko for en anden service. Med Lastpass vil det i stedet kræve at man foretager et direkte hack mod den specifikke bruger hvis du skal have fat i alle passwords for den given bruger. Jeg vil dog påstå at hvis der allerede er en keylogger på din computer så har du allerede tabt og Lastpass forværre ikke denne situation.
Desuden er det muligt at aktivere 2-faktor autentificering i Lastpass så det bliver noget mere besværligt at komme ind på din konto (stadig muligt, men vi gør udfordringen større).
Og i stedet for Lastpass så kunne du også bruge en af de mange offline løsninger til at holde styr på dine passwords. Det vigtigste er blot at fjerne hele elementet at du kan huske hver eneste password for hvis du kan huske 100+ unikke passwords så vil jeg vove påstå at du har et system i hovedet til at finde frem til hvert password og så har du derved allerede langt mindre sikre password.
Når alt kommer til alt er det dog en balance mellem hvor besværligt man ønsker at gøre det for sig selv og sikkerhed. Jeg bruger selv Lastpass (med 2-faktor) trods jeg ved det på ingen måde er den mest sikre løsning jeg kunne bruge. Men for mig er det også vigtigt at løsningen er en jeg orker at bruge i dagligdagen og ikke føle jeg skal til at foretage 10 armbøjninger hver gang jeg skal logge ind på en side.
Og vi kan vel godt være enige om at Lastpass (eller lign.) for den alm. forbruger er en markant mere sikker løsning end den løsning de sandsynligvis bruger i dag.
Og ja, Lastpass har haft sikkerhedsproblemer igennem tiden som Thomas påpeger. Her må jeg anbefale alle at nærstudere hver hændelse og gøre op med sig selv om de har håndteret hændelsen som de burde. Jeg har selv overvejet at finde et alternativ ved sidste hændelse men efter en længere research så konkludere jeg at de stadig har min tillid (ved den linkede sag var årsagen til sikkerhedsproblemet en dårlig dokumentation af et JavaScript API som ikke gjorde det tydeligt nok hvilke konsekvenser håndtaget havde. Det var derfor heller ikke kun Lastpass der var ramt af problemet). Men igen, det må være op til en selv at foretage den vurdering.
Nej der er forskel. Med lasspass (og stort set alle andre software baserede password vaults) vil et hack give adgang til alt også det password du ikke har brugt i et år.
Mere sikkert er følgende:
Men grundlæggende er passwords en dårlig ide i disse tider. Vi skal bevæge os til hardware baseret "challenge–response". Det er det eneste der er ordentligt sikkert.
For at gøre det helt klart: Der er intet fix til Lasspass eller alle de andre software password managers. Så længe et password giver adgang til alle (eller mange) passwords og det sker på en computer der er connected til internettet, så er der et problem.
"Folk giver dem glædeligt ud" skriver Poul H. Pedersen.
Men hvem er "folk"? Og hvor stammer denne anekdote fra?
Jeg kender ingen, der udleverer deres passwords, ligesom jeg aldrig selv ville drømme om det. Findes der nogen form for videnskabelig dokumentation for påstanden, eller er det blot et påskud til at fokusere på at begrænse brugernes muligheder i stedet for at fokusere på sikkerhed på selve serverne, hvor skaden jo er størst ved utilsigtet indtrængen.
Der findes en verden udenfor Danmark, Europa og andre teknisk avancerede lande.
Når jeg bruger en gammel computer i Andesbjergene eller på Sri Lanka eller ..., hvad skal jeg så gøre for at få sikker login, hvis jeg ikke kan bruge pasord?
Nu læser jeg så Pouls indlæg på den måde, at der tænkes på det faktum, at vi efterhånden er vænnet til at indtaste vores passwords så mange steder, at det ikke er spor svært at lokke os til at gøre det et sted, hvor vi ikke skulle.
Lad os lige tage "Herlev bibliotek" demonstrationen fra 2011, hvor det vises, hvordan det kunne misbruges i praksis: https://www.version2.dk/artikel/paerelet-narre-nemid-fra-dig-med-klonede....
Men der er også eksempler på at folk frivilligt udlevere password, som f.eks. dette indlæg, hvor arbejdsgiver lige bad om password til socisle medier ifm. ansøgning: https://www.version2.dk/blog/kan-du-ikke-lige-laane-mig-dit-password-44595 - så vidt jeg husker, så kan det også komme på tale ifm. ønske om indrejse til USA.
Og så er der den her, om kopi af nøglekort og nemid password: https://www.version2.dk/artikel/danskere-bider-paa-krogen-sender-fotos-a...
Til sidst lad os så lige tage den her med at folk, som burde vide bedre, også engang imellem kan have hovedet under armen: https://www.version2.dk/artikel/professionelle-it-folk-faar-falsk-vip-st... - godt nok ikke lige password, men det kunne det sikkert lige så godt have været.
Jeg kan godt komme med flere eksempler uden at skulle falde tilbage på anekdoter - og dem har jeg også en del gode af...
Det er faktisk allerede muligt i dag, de fleste større services understøtter efterhånden U2F (Facebook, Gmail, Dropbox, GitHub m.m.).
Du er alt for teoretisk, da virkeligheden er en helt anden.
Desværre er der en god del af Cyberspace, der ikke tillader brugen af æøå, men begrænser dig til Standard ASCII - dvs mindre end 127 tegn og kun a-z samt begrænset antal specialtegn.
Og ja tilmed en af vores store hjemlige telefirmaer falder dags dato i den grøft.
Jeg lukkede mig selv ude forleden, da jeg legede med æøå ;) - blev end ikke advaret om, at det var "ulovlige" tegn.
Årsagen er antagelig, at mange firmaer ikke gider udvikle nutidige software på nutidigt sikkerhedsniveau, men smækker lidt klyt ind i User og Password check.
Dvs at der genbruges og genbruges forældet standardkode fra de engelsktalende områder.. UK og US.
Genbrug af software er godt, hvis man genbruger software som bliver opdateret af en community, og at man selv sørger for at opdatere.
Problemet med æøå er oftest et codeset problem. Det vil sige at taster man sit kodeord ind et sted, er der en encoding, og skal man senere bruge den et andet sted, er der en anden encoding.
Er der så styr på dette, mangler der en test med æøå, eller var det æöä. Der er mange sprog at teste, og dansk er bare et blandt mage
Derfor vil jeg ikke nødvendigvis sige forældet. Problemet kan faktisk blive værre, hvis man finder software som understøtter dansk. Da er det ikke sikker at der sker sikkerhedsopdateringer ligesåvel som der kunne være et dårligt community bag.
Biometri er jo ret beset bare et password som du aldrig kan skifte.
Nej, biometri er en identitet der ikke kan skiftes.
Du taler i absolutter. Sikkerhed er et kontinuum, og Lastpass, 1Pass, Bitwarden osv er stadig langt bedre end simpel menneskelig hukommelse fordi de gør det enkelt at bruge forskellige koder til forskellige websites, og fordi de gør det enkelt at bruge komplekse og/eller lange koder.
Kan det blive bedre hvis man bruger 2FA eller biometri? Ja, men det gør almindelige brugere bare ikke fordi der stadig er mange forskellige implementationer af det og mange websites ikke understøtter det overhovedet.
Som udgangspunkt gemmes dit password altid i klartekst, som minimum i to tilfælde:
Fra du taster koden på tastaturet, og til din browser krypterer trafikken, og fra serveren har dekrypteret den, til den har afleveret det til hashing algoritmen.
Selvom databasen er hashet, saltet og krypteret, kan service udbyderen stadig sætte en midlertidig stump kode ind, der aflæser dit password.
Undtagelsen er selvfølgelig Challenge Response systemer, hvor koden aldrig sendes til serveren. De er dog stadig sårbare over for phising angreb, hvor du uvidende skriver koden ind på et andet website.
2-faktor login ville være en rar anbefaling. Gerne med hardware nøgler, frem for SMS.
Henrik Larsen har fuldstædigt ret - i alt fald i dette korte udsagn.
Men hvad ER en god og sikker kode?
* Enkel nok til at huske (sic)
* Unik på tjenesten
* Findes ikke i ordbog
* Kan ikke gættes udfra personkendskab (hundens navn mv.)
Jeg er ikke autist og KAN ikke huske 7f4f56f5e6e478ddf4f47643e5aa282546085bb2063fb540219275aa507b1cf6 - slet ikke, når der bliver indsat store bogstaver og specialtegn.
Der er brug for hjælp til mig som bruger - og krav til servicen om minimums længde, beskyttelse mod brute force angreb etc.
Tegneserien xkcd har påstanden: "through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess." og plæderer for brug af tilfældige ord til mnemotekniske koder.
Hvem kan komme med nogle gode forslag, som brugerne kan anvende - og som giver computerne problemer med at gætte? Og længden gør det ikke alene.
Jeg bruger ofte en lang sætning, og tager det første bogstav i sætningen.
Man kunne selvfølgelig også bruge sætningen, men man kan nemt rende ind i systemer som max accepterer 16 tegn, eller endnu værre, kun bruger de første 16 tegn.
"Min hat den har tre buler" er faktisk et langt password, og let at huske. Spørgsmålet er så om space er tilladt?
Og om den bliver afvist på grund af dictionary words.
Med hensyn til at gøre passwords unikke, så kategoriserer jeg mine. Mit password på version2 benytter jeg også andre steder. Det er trods alt kun et debatforum.
Men banken, den holder jeg fuldstændig unik, husker den i hovedet og gemmer den aldrig andre steder.
Der er efterhånden flere teknologier, fx Trusona.com (anbefalet af FBI og støttet af Microsoft), som logger på uden passwords.
Virksomheder bruger milliarder på at hjælpe folk med glemte passwords, og det er klart kilden til fleste security breach.
Lad os komme videre...
Hvad hvis man lader lastpass (og lignende) om de to første punkter? Så kunne man bruge hzy$@)e0n9]UWzq (og andre unikke lignede) som første del af adgangskoden og så $x7 som slutning på alle?
I starten af 90'erne anbefalede jeg mine studerende, at bruge første bogstav i ordene fra en sangtekst.
Det var så hyggeligt, at høre dem fjøjte sig igennem en pasord - men på ingen måde sikkert ;-)
Du mener højskolesangbogen allerede er lagt ind i dictionary?
Jeg bruger i øvrigt ikke sangtekster men sjove påhit.
Og en som i nogen tilfælde er nem at fake. Fx fingeraftryk.
Problemet er stadigvæk at hvis du bliver hacket, så har hackeren alle dine passwords. Både dem du har brugt efter du blev hacket (det kan ikke undgås) og dem som du ikke har brugt. Jeg siger: En lap papir er bedre.
For at få fat i passwords der står på en lap skal man møde dig rent fysisk. Du møder sandsynligvis under 1000 mennesker i løbet af en uge. For at få fat i passwords på en computer der er connectet til internettet skal man bare være på planeten. Dvs. der er ca. 8 mia. potentielle hackere.
Det kan man, men hvis en hacker får fat i alle dine password prefixes fra lastpass samt har en keylogger på din computer, så kan han opdage din metode. Efter ca. 3 passwords ville jeg se et mønster.
I øvrigt er der ikke nødvendigvis brug for lange passwords. Hvis en hacker kommer ind gennem fordøren (dvs. ”taster” passwordet ind), så vil et 8 cifret password være godt nok så længe man kun har 3 forsøg. Det vil give en hitrate på 1:33.333.333 … jeg tror ikke det er værd at gå i krig med.
Hvis hackeren kommer ind gennem bagdøren og snupper ”password filen” så kan han vha. brute force reverse engineere passwords. Men hvis han allerede er inde, hvorfor så gå i gang med fordøren? Det vigtigste her er at man ikke genbruger passwords, sådan at et brute force reverse engineeret password ikke kan bruges andre steder.
Ovenstående gælder ikke for WPA’s PSK (pre-shared key) fordi det ikke er et password.
Hvis der er keylogger på, så er din metode også dømt på forhånd. Lastpass (og andre) kan man i det mindste sikre med 2FA, fx hardware token. Så selvom de får adgang til min kode til Lastpass, så er en keylogger ubrugelig.
Man kan ganske rigtigt altid få adgang til de passwords som "er tastet ind på tastaturet" (eller af lastpass). Det kommer man aldrig uden om, med mindre websitet (eller hvad et nu er) man tilbyder bedre login metoder. Men det er ikke noget lastpass kan fikse.
Og det er rigtigt at hvis de blot har puttet en keylogger på din maskine, så sikrer din 2FA løsning dig. Men hvis de samtidigt har hacket din computer sådan at første gang du bruge dit master password + whatever 2FA så snupper de alle dine passwords så har du problemet ... løsningen er selvfølgeligt at lægge passwords i dit hardware token og sikre at computeren aldrig får adgang til alle passwords på en gang.
Endnu bedre: en form for challenge+response mellem dit hardware token og den service du forsøger at tilgå. Men så skal vi have en fornuftig standard for det. Og det er ikke en der bygger på USB, for USB er alt for bred en standard til at det er nemt at verificere at der ikke er bagdøre i løsninger.
Det har ingen betydning da "identitet" er brugernavn, du skal FORTSAT bruge password og helst en 2-faktor løsning.
Enhver service der anbefales af FBI eller lign. ville jeg ikke stole på. De har jo udvist stor interesse i netop at få lagt bagdøre ind i fx iOS. Så hvis de anbefaler servicen, så er det ikke urimeligt at antage at den måske allerede har bagdøre indbygget.
Det kan også være de anbefaler den, for at de kriminelle ikke skal bruge den.
Blot et tilfældigt indskud af sort humor.
Man bør ikke vælge en password service/authentication service med mindre man har fuld gennemsigtighed i teknologien og tillid til udbyderen. Men man kan sagtens vælge en teknologi som folk man ikke stoler på anbefaler. Trusona er en service.
"Der er efterhånden flere teknologier, fx Trusona.com (anbefalet af FBI og støttet af Microsoft), som logger på uden passwords."
Tror man skal stole lige så meget på de teknologier som vi "gratis kan få" på den anden siden af Dammen , som vi skal stole på deres President.
Hvis det skal bruges andre teknologier, skal de være under en type GPL licens, uden patenter og udviklet og kørende på server i EU.
Vil lige tilføje nogle kommentarer til tråden på baggrund af at jeg er udvikleren af Password Crypt (https://pcrypt.com og https://pcrypt.org) og har kendskab til hvorledes en Password Manager virker.
Det master password man indtaster anvendes ikke direkte, men udsættes for en såkaldt "key expansion". Typisk en masse hash runder, der vil gøre det noget besværligt at lave et brute force attack på en kopi af databasen. For hvert password man forsøger med, skal man udføre ydeligere 10000 eller lign. operationer (tager tid).
Typisk sendes master password slet ikke til databasen, men anvendes kun lokalt på den klient man arbejder ved (så man kan ikke anvende databasen til nemt at finde master password bare ved at lave MD5/SHA operationer eller lignende).
Password Crypt er implementeret med SRP6a protokollen, så den nøgle der anvendes til at logge på back-end sendes aldrig til serveren (en form for offentlig/privat nøgle validering). Login/session password er som tidligere beskrevet heller ikke det samme password som anvendes til at kryptere/dekryptere.
Kan ikke udtale mig om hvorledes Lastpass etc er lavet, men vil forvente at noget af ovenstående ligeledes er anvendt.
Vi tror ikke, at der inden for rimelig tid, vil komme teknologiske skift der vil gøre passwords overflødigt. Muligvis vil styrken af dette behov ændre sig, men den vil ikke forsvinde.
For at få fat i denne hemmelige kode skal der være et interface på det system man sidder foran. I øjeblikket er det primært tastatur og mus. En mobil tlf kan også anvendes som hos Trusona - men den kan jo stjæles ligeledes som en post-it seddel hvor password står på
Adgangskoder vil eksistere i mange år fremover, idet det er det eneste adgangsbeskyttelse der ikke nemt kan tvinges ud af os og som kan transporteres nemt og hemmeligt. Andre biometriske metoder som fingeraftryk og til dels Iris scanning opfatter eksperter primært som second factor authorization, der kan fungere i samspil med adgangskoder.
Som eks. kan man tvinges til at afgive sit fingeraftryk ved grænsen i USA for at åbne en mobiltelefon. Fingeraftryk kan også forholdsvis nemt tages fra ting man har rørt ved og kopieres.
Andre muligheder er at tredjeparts login systemer som Google og Facebook login får større udbredelse. Disse systemer har et problem med privacy, idet man deler oplysninger om tidspunkt og adgang til et system med en tredjepart. Dette vil hindre deres udbredelse til firma anvendelse.
Hvem ønsker f.eks at lade Facebook styre/kende adgangen til virksomhedens netbank?.
Der finde systemer der tillader tredjeparts login uden at der er helt lige så store problemer med privacy - såsom OpenID. Disse systemer har været på markedet i lang tid uden at slå igennem, da de er besværlige at implementere og besværlige for brugeren at anvende/forstå.
Tror man ville få en bedre sikkerhed ved større diversitet af implementeringer/løsninger. I øjeblikket er det typisk en form for "one size fits all". Alle anvender de samme værktøjer/programmer/styresystemer.
Når man først har lavet værktøjer til at bryde ind et sted kan systemet genanvendes en masse andre steder.
At det i praksis nok ikke kan lade sig gøre at opnå større diversitet er en anden sag. For det første krævede det at de enkelte implementeringer til nogen grad fulgte "best praksis" og de færreste har desværre viden/kundskaber til at lave sådanne forskellige løsninger.
Mvh
Benny
Det lyder som om I har lavet en løsning hvor server løsningen er ganske sikker. Dog mener jeg at kryptering med et password - selv en løsning hvor I brug en form for "salt" - sjældent når en nøgleentropi der er høj (dvs. i nærheden af 128 bit).
Min anke mod jeres løsning - sådan som jeg forstår den - er at hvis nogen hacker clienten, så kan de få alle passwords som den client har lagt i databasen. Det kan naturligvis godt være jeg har overset noget i jeres løsning, men som jeg ser det så vil adgangen til master password give adgang til alle passwords og master password'et findes på clienten.
Salt anvendes nu nok nærmest for at sikre at det samme password ikke kan anvendes på andre konti, men det øger da nøgleentropi, hvis man ikke har fået fat på databasen. Vi anvender også salt.
Hvis man hacker klienten har man jo lige meget hvilken løsning man laver mulighed for at få fat på master password (key logger etc). Ligeledes har man over tid adgang til alle systemer som brugeren anvender, så jeg ser det ikke specielt som en god årsag til ikke at anvende en password manager.
Dette er den største årsag til at man skal anvende 2-factor autorisation (2fa). Det vil hindre at man kan få fat på data, med mindre man har opnået adgang til databasen. Ligeledes systemer der adviserer brugeren om alle adgangsforsøg kan være en hjælp her.
Basalt set er min anke mod alle sofware baserede password managers at hvis man hacker clienten, så har man alle passwords. Der er intet fix til det.
Derfor bør password managers implementeres som offline hardware løsning - alt andet giver falsk tryghed. Jeg er fx. ganske sikker på at I er meget bedre til at holde jeres servere sikre (selvom det pga. designet ikke er så vigtigt) end brugerne er til at holde deres workstations sikre.
En hardware baseret løsning vil sikre at kun de brugte passwords bliver kompromitteret. Og den dag vi kan få en challenge-response login sekvens uden passwords, hvor beregningene foregår i hardware dimsen mens brugerens computer blot er mellemmand, da har vi en sikker løsning.
Indtil vi har en offline hw løsning vil det være mere sikkert blot at skrive passwords på et stykke papir og gemme det i pungen (som Bruce Schneier foreslår). Hvis man er bekymret for sedlen, så har jeg tidligere i tråden skrevet hvordan man kan håndtere dette.
Løsning, valideringen forsvinder hvis man skifter email / kodeord
Det kommer meget an på situationen om en SW/HW løsning er mest sikker set med mine øjne - hvis vi som udgangspunkt antager at koderne skal anvendes på internettet. En HW løsning sikre jo heller ikke mod en key logger der over tid samler dine koder ind. Papir i pungen er ikke mere sikker, hvis det er NSA agenter der bryder ind i dit hus (sat på spidsen). Software løsningen er mere brugervenlig hvis man har mange unikke koder og kræver ikke at man hele tiden skal sikre at ens papir data er sikre (pungen efterlades aldrig uden for opsyn)
Det er ganske rigtigt. Men en offline HW løsning kan sikre at de koder der ikke har været brugt ikke bliver snuppet.
Hvis NSA agenter bryder ind i nogens hus, så har de altid lavet elektronisk aflytning i forvejen. Aflytning af elektronisk kommunikation er deres raison d'être. FBI kunne i akutte tilfælde finde på at lave ransagning uden forudgående aflytning, men kun når situationen er akut.
Under alle omstændigheder: Hvis man skal beskytte sig mod efterretningstjenester så kræves der helt andre løsninger.
Man kunne også bare bruge 12345678 som password og putte det på en hotkey. Det vil være mere brugervenligt.
Som sagt er det ikke kun undertegnede der advokerer papiret i pungen. Det er også Bruce Schneier. Og som beskrevet ovenfor, så kan man med lidt snilde godt sikre papirløsningen yderligere (men jeg tvivler på at mange har behovet):
Uanset hvor god en kode man har, og om den er på 20-60 eller 1000 tegn, så skal man altid huske på at det er MEGET nemmere at stjæle koden end det ofte er at bryde den.
Tip til den alm. bruger.
Få dig en nøgle husker, og lad dette program genere og huske alle dine nøgler. Det kræver kun at du husker en kode, og det er login koden til din nøgle husker.
Se mere her ( evt se nogle tutorial på youtube ).
Evt. kombiner programmet med en konto hos firefox som husker alle dine logins så skal du ikke ind i nøgle programmet hele tiden for at aflæse den komplicerede kode og copy paste den i dit login felt.
( tip.. koden til firefox kontoen skal være så stærk som mulig og evt. udskiftes f.eks. en gang om mdr. )
Men med ovenstående løsning og lange koder + firefox så når den alm. bruger meget langt.
I princippet er jeg helt enig med dig.
Men husker en bekendt som sad på en netcafe i udlandet og forsøgte at komme på netbanken (lang tid for nemid).
Det lykkedes ikke. Det kunne ikke lykkes. Prøv at få en engelsk pc til at skrive æøå.
Så diverse skæve tegn i adgangskoder kan er fint når du er sikker på at du kun skal bruge dit eget hardware. Er der en chance for at at du skal bruge ukendt hardware risikerer du problemer.
/Henning