DanID afviser password-kritik: Ligegyldigt at skelne mellem store og små tegn

2. august 2010 kl. 06:5975
DanID afviser password-kritik: Ligegyldigt at skelne mellem store og små tegn
Illustration: Privatfoto.
Der er ingen forskel på små og store bogstaver i det selvvalgte kodeord til NemID. Folk ville bare blive forvirrede, siger DanID, der mener, at passwordet er sikkert nok.
Artiklen er ældre end 30 dage

Både tal og små og store bogstaver. Sådan lyder en efterhånden meget udbredt konvention for sikre passwords, men til kodeordet for den nye nationale digitale signatur, NemID, er det anderledes.

Her kan brugerne vælge et kodeord med kun små bogstaver og tal, for der bliver ikke skelnet mellem store og små bogstaver. Det har fået mange Version2-læsere og andre it-professionelle til at undre sig eller ligefrem dumpe løsningen.

Men at droppe den skelnen, som ellers er normal praksis mange andre steder, er ikke noget problem for sikkerheden i den samlede løsning, siger Peter Lind Damkjær, kryptologi-ekspert hos DanID, som står bag NemID.

»NemID er beskyttet mod brute force-angreb ved, at man kun får fem forsøg, før den låser. Med den gamle digitale signatur kunne du forsøge alle de gange, du ville, når man havde kontrol over nøglefilen. Så sikkerheden i NemID er god nok,« siger han.

Artiklen fortsætter efter annoncen

Han sammenligner med Dankortet, som bankerne står bag og løbende vurderer sikkerheden i.

»Med et Dankort lukkes kontoen efter tre forsøg. Men der er det sikkert nok at bruge fire tal som password, og vi går så et skridt videre, når vi kræver seks tegn og både tal og bogstaver,« siger han.

Sammenlignet med Dankortets pinkode kommer der med NemID også et ekstra lag beskyttelse, nemlig de engangskoder, som bliver sendt ud til brugerne på små kort.

Brugerne bliver forvirrede af store og små bogstaver
Erfaringen fra supportopkald til netbank og den tidligere digitale signatur viser, at mange brugere kløjes i, om det er store eller små bogstaver, og om caps lock er slået til ved en fejl, lyder begrundelsen.

Artiklen fortsætter efter annoncen

Så selvom man fra NemID's side med lidt javascript nemt kan registrere, om folk har caps lock aktiveret, når de forsøger at logge ind, har man altså helt fravalgt at skelne mellem store og små bogstaver, forklarer Peter Lind Damkjær.

Den beslutning blev taget i en arbejdsgruppe med repræsentanter fra IT- og Telestyrelsen, bankerne og DanID, dengang hele løsningen blev designet.

Ønsker man et bomstærkt kodeord, er der rig mulighed for det, siger Peter Lind Damkjær. Man kan bruge visse specialtegn i sit kodeord og gøre det op til 40 tegn langt.

Frygter ikke indlysende passwords

DanID er heller ikke bekymret for, om nogle danskere vælger et kodeord, der er alt for indlysende.

Artiklen fortsætter efter annoncen

Der bliver i hvert fald ikke tjekket for ord som eksempelvis 'password1'. Eneste krav er, at kodeordet ikke rummer cpr-nummer eller brugernavn, og at der ikke er fire ens tegn i træk.

»Vi sammenligner ikke med typiske dictionary attacks. Det vil normalt også være kontekstafhængigt, hvad der er et oplagt ord for folk, for eksempel konens tidligere efternavn, og det ville være uhyre svært for os at sikre os imod,« siger Peter Lind Damkjær.

Strategien lyder, at det er bedre at forsøge at oplyse danskerne om god password-skik.

»Vi kan aldrig være 100 procent sikre på at sortere oplagte ord fra. Så vil vi hellere gå ud og plædere for sikre passwords gennem for eksempel Netsikker nu-kampagnen. Det er bedre at uddanne folk i, at de skal være opmærksomme,« siger Peter Lind Damkjær.

NemID er Danmarks nye digitale signatur og blev lanceret 1. juli.

Løsningen har været kritiseret for at samle de private nøgler, som hver borger får tildelt, på en central server, i modsætning til den tidligere løsning, hvor nøglerne lå lokalt på borgerens computer.

75 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
36
2. august 2010 kl. 15:03

Til diskussionen om scanning af nøglekort:

Der står højt og tydeligt i reglerne for anvendelse af NemID:

§3.2: Du skal være opmærksom på, at du ... ikke må scanne dit nøglekort, indtaste dine nøgler eller på anden måde digitalisere eller kopiere nøglerne.

Hvis man derfor scanner nøglekortet ind (uanset om man mener at det er sikkert at gøre det eller ej), har man brudt reglerne for NemID. Hvad det så betyder for de forskellige parters erstatningsansvar, ved jeg ikke.

1
2. august 2010 kl. 07:47

Peter Lind Damkjær: Hvorfor har I så krav om, at passwordet skal indeholde tal, når I ikke skelner mellem store og små bogstaver? For at sikre mod, at folk blot vælger navne eller ...?

2
2. august 2010 kl. 08:10

Ellers kan du jo ikke bruge

password01 password02 password03

når du skal ændre det :-)

3
2. august 2010 kl. 08:17

password_et password_to Password_tre

;-D

5
2. august 2010 kl. 08:21

Når man ser dette, og de tidligere problemer DanID har haft med Version2s læsere, ligner det lidt at de har taget et fint whitepaper med best practice, og så fået placeret det i bunken med "sådan skal man IKKE gøre det!" ...

Giver det ikke bare et endnu dårligere signal til brugerne om hvordan man bør håndtere passwords på en god måde, f.eks. til ens email eller facebook, når nu noget så VIGTIGT som ens digitale identitet ikke engang behøver noget godt kodeord; thi DanID har jo selv sagt at kodeord er lige meget.

10
2. august 2010 kl. 09:23

Har de bevist fjernet MULIGHEDEN for at lave et mere sikkert password? Jeebus! Har de hyret en projektleder fra Digital Tinglysning?

Sidder her på jobbet og kigger på min RSA-token og bliver mere og mere træt af det sammenfoldede nøglekort i tegnebogen...

18
2. august 2010 kl. 11:46

Ja det skulle man jo tro? Jeg sad netop og oprettede min konto i går aftes, og sad også snakkede for mig selv "Det mener de da ikke?". Men ganske rigtigt, jeg tastede min lidt komplekse adgangskode ind som jeg normalt gør, og til sidst bekræftede jeg den uden at skelne mellem store og små bogstaver. Og det acceptere formularen.

Slutbrugeren går glip af rigtig mange komplekse adgangskoder, og jeg kan ikke forstå hvorfor de har valgt ikke at skelne.

Noget helt andet er jeg synes deres verifikationskode papir er lidt til grin. Det havde da været lidt nice med en token til x antal kr. Jeg har scannet mit papir ind så det ligger på min computer, for jeg ved at jeg mister papiret :)

34
2. august 2010 kl. 14:24

Jeg har scannet mit papir ind så det ligger på min computer, for jeg ved at jeg mister papiret :)

Det er dog det dummeste man kan gøre. Mangfoldiggørelse af nøglekort er at kraftigt kompromittere sikkerheden fra din side. Jeg ved at i min bank som har haft en ligene løsning i mange år betyder et kopi af nøglekortet at der ikke dækkes en eneste øre hvis der er misbrug. Desuden kan man jo huske hvor ens kort er hvis man lægger det er sted man kan huske, som fx tegnebogen.

Hvis jeg var dig fik jeg spæret min id med det samme da du jo offentligt med navn har oplyst at det er nok at bryde ind på din maskine og kikke sig omkring og installere en key logger

37
Indsendt af Anonym (ikke efterprøvet) den man, 08/02/2010 - 15:04

Det er dog det dummeste man kan gøre.
Mangfoldiggørelse af nøglekort er at kraftigt kompromittere sikkerheden fra din side.

Faktum er måske nok desværre at det forholder sig stik modsat.

Dit primære sikkerhedsproblem er at din sikkerhed allerede er kompromiteret - af NemId.

Samtidig KAN du ikke hemmeligholde papkortet - et kamera er alt der skal til at bryde sikkerheden og du kan ikke vide om det er sket eller bevise at det er sket, dvs. at en given handling IKKE var dig.

De fakto er du i den situation at Nemid ansvarliggør dig for noget du ikke kan beskytte og staten/bankkartellet påtvinger dig noget som du ikke kan kontrollere.

Den eneste måde hvorpå du kan stille dig bedre i en retsag er faktisk at publicere kortet og afvise enhver ansvarlighed overfor brug af nøglerne - dvs. at negere den påtvungne ansvarliggørelse.

Det er det sikkerhedsprincip som man kalder probable deniability, dvs. at du forebygger kravet om omvendt bevisbyrde (at bevise din uskyld) ved at eliminere antagelsen af dårlig sikkerhed er god sikkerhed.

Vi havde lignende problemer for et par år siden da bilproducenterne påstod at de trådløse bilnøgler ikke kunne hackes og hvor en person blev anklaget for forsøg på forsikringssvindel fordi han havde begge nøgler til en sjålet bil. Det var først da man påviste at de ikke var sikre at han blev frikendt - kunne man ikke det, ville han formentlig være ramt af kravet om omvendt bevisbyrde og uskyldig dømt for forsikringssvindel.

Med andre ord - det eneste du med rettidig omhu kan gøre, faktisk er at sikre at du kan bevise at du IKKE er den eneste som kan have haft adgang til det pågældende nøglekort. Fordi det beviseligt set IKKE er en sikker løsning.

Med andre ord - i princippet burde du publicere papkortet fordi det kun fungerer som NemIds måde at tørre liability af på andre af deres kontrol med dig og din nøgle.

Trist men sandt.

40
2. august 2010 kl. 15:23

Samtidig KAN du ikke hemmeligholde papkortet - et kamera er alt der skal til at bryde sikkerheden og du kan ikke vide om det er sket eller bevise at det er sket, dvs. at en given handling IKKE var dig.

Kan vi blive enige om at i Frank Andersens tilfælde har han erkendt sig skyldig.

Når nemid bliver brugt i banksammenhæng er der ikke tale om signatur men kun sign on.

Men vigtigst af alt har man indgået en frivillig aftale med banken hvor banken står inde for sikkerheden og erstatter tab hvis brugeren har fulgt reglerne. Kan det bevises at man har brudt reglerne må man acceptere tab, hvor meget er alt efter hvad man har gjort eller ikke gjort. Frank Andersen har erkendt offentligt at han har brugt reglerne og må leve med et tab hvis han bliver bestjålet, altså hvis hans nemid er koblet på hans netbank

43
Indsendt af Anonym (ikke efterprøvet) den man, 08/02/2010 - 15:57

Her taler vi ikke om indestående på en bankkonto, men adgang til alt og påstanden om at man kan ansvarliggøres som om det er en digital signatur.

Endda i en model som afpresses ned over hovedet på dig med hele vægten fra offentlige institutioner og bankkartellet.

Risikoen er uendelig. Reelt burde Finanstilsynet kræve at risikoen belaster banksoliditeten eftersom det i sidste ende er banken som står bag identifikationen og dermed også misbruget.

Det er en dårlig variant af EMV-kartellets betalingskort hvor man overpriser risiko som man skaber for at sikre gatekeeperkontrollen og dermed kunstig knaphed.

Jeg er generelt pro-marked - men dette er noget af det værste kartel- og magtmisbrug, vi har set siden Rockefeller.http://en.wikipedia.org/wiki/South_Improvement_Companyhttp://en.wikipedia.org/wiki/Standard_Oil

Vi skal tilbage til stavnsbåndet og feudalismen for at finde noget som bare ligner.

42
2. august 2010 kl. 15:36

Der har længe været angreb der kan omgå 2-faktor-sikkerhed, f.eks. http://blog.threatexpert.com/2008/11/one-tricky-banking-trojan.html

Så mon ikke de kriminelle her 1.5 år senere kan lave en kopi af den java-applet der bruges til login når de derved kan ramme ALLE danskere?

Og hvis man tror folk er for dumme til at bruge store og små bogstaver skal man da slet ikke regne med at de kan holde deres computer virus fri.

41
2. august 2010 kl. 15:32

"NemID er beskyttet mod brute force-angreb ved, at man kun får fem forsøg, før den låser"

Det bliver interessant hvornår en eller anden prankster foretager et brute force angreb på NemID, således at alle danskeres NemID konti bliver lukket.

Lidt løkker , en asymetrisk timer og en del IP-spoofing skulle kunne gøre det.

45
2. august 2010 kl. 16:12

"Det bliver interessant hvornår en eller anden prankster foretager et brute force angreb på NemID, således at alle danskeres NemID konti bliver lukket."

Det er jeg nu ikke så nervøs for. Hvis alle får spærret deres adgang så vil det jo være klart for folkene bag NemID at der er noget galt. Derfor vil de være tvunget til at finde en løsning.

Men hvis det derimod er ganske få personer der bliver chikaneret så står de med håret i postkassen. For vil NemID ændre deres procedurer på baggrund af nogle få personer der har problemer? (Jeg antager her at man kan spærre adgang udelukkende ved at kende folks CPR nummer.)

46
2. august 2010 kl. 16:23

@Tobias

Det er selvfølgelig sørgeligt at enkelt individer får smadret deres liv, men dette problem blegner dog i sammenligning med scenariet, hvor 50% af danskernes adgang til centrale services (læge, sygehus, bibliotek, skat, banker, forsikring, politi, tinglysning osv) er blokeret i kortere eller længere tid, for at blive gentaget igen senere.

Dvs. at man ved at angribe en central funktion kan lamme store dele af samfundet.

Hvordan er det forøvrigt med offentlige forvaltningers adgang til andre forvaltninger. Foregår dette også via NemID?

47
2. august 2010 kl. 17:38

Er NemID IPv6 venlig? ingen dual-stack, men ren IPv6 fra A til B.

35
2. august 2010 kl. 14:53

Betyder det så at alle der kender mit CPR nummer kan blokere min adgang til bank, skat, etc? Det eneste de skal gøre er at taste 5 gange forkert? Eller skal man også have tallet fra nøglekortet for at det tæller som en forkert indtastning?

21
2. august 2010 kl. 12:02

Jeg har scannet mit papir ind så det ligger på min computer, for jeg ved at jeg mister papiret

Så håber jeg for dig at du har krypteret det indscannede billede.

Hvordan kan du mene at du vil miste papiret men ikke et token?

23
2. august 2010 kl. 12:24

Min token til battle.net ved jeg lige præcis hvor er. Mit seneste feriekort er jeg lidt i tvivl om hvor befinder sig.

Papir er papir er papir. Skal det bruges ofte, men ikke hver dag, så ender det i en stak som senere bliver arkiveret og så er det enkelte ark væk.

En token har man sammen med nøglerne, sammen med musen eller på en krog uner skrivebordet.

Det er lettere at give en ting en fast plads.

24
2. august 2010 kl. 12:48

DanID står for sikkerheden, men har intet ansvar... herligt!

25
2. august 2010 kl. 13:02

Jeg forstår slet ikke hvad kritikerne snakker om. Så længe man kun har 5 forsøg, kan det vel aldrig blive et problem.

Her er en lille opgave. Jeg har lavet mig et password bestående af 1 til 4 bogstaver/tal. Hvem vil prøve at gættet det? Hver gang jeg modtager 5 gæt, skifter jeg password.

33
2. august 2010 kl. 14:11

Du opretter en million konti med 1 til 4 bogstaver og tal.

Hr. Evil smider et password en gang mod alle dine en million konti, som opfylder kriteriet.

Chancen for at ramme en af dine kombinationer er, skal vi sige rimelige.

13
2. august 2010 kl. 10:11

Har de bevist fjernet MULIGHEDEN for at lave et mere sikkert password?

Nej. Som nævnt i artiklen, tillader de op til 40 tegn og visse specialtegn. Bare et ekstra tegn giver flere bit end muligheden for at skelne mellem små og store bogstaver: Seks tegn med store og små bogstaver, cifre og 10 mulige specialtegn = 78^6 = 225199600704 svarende til 37.7 bit. Syv tegn med kun små bogstaver, cifre og specialtegn = 49^7 = 678223072849 svarende til 39.3 bit.

Selv om man kun tillader små bogstaver i kodeord, skal man "kun" op på 8 tegn for at få bedre sikkerhed end 6 tegn med "det hele".

Folk har det generelt med at overvurdere effekten af flere mulige tegn i kodeord og undervurdere effekten af længere kodeord.

14
2. august 2010 kl. 11:11

Det er jeg klar over - men MULIGHEDEN for at bruge både store og små bogstaver ville så give yderligere sikkerhed. Jeg begriber ikke at de har fjernet den og da SLET ikke deres "det ville forvirre brugerne" argument. Hvordan vil de uddanne brugerne til at bruge bedre passwords når de samtidig fjerner en af de "nemme" muligheder for at forbedre sit password?

16
2. august 2010 kl. 11:41

Andet kan der ikke siges om DanID's latterlige tilgang til elementær sikkerhed. Sandheden er, at de ikke evner at opsættes deres egne systemer, så de kan håndteres små/store tegn !

19
2. august 2010 kl. 11:46

Sandheden er, at de ikke evner at opsættes deres egne systemer, så de kan håndteres små/store tegn !

@Ib: Det er dig, der udviser et arrogant brugersyn. Det er jo ikke bare it-folk og personer, der til daglig arbejder foran en computer, der skal bruge NemID. Det skal min svigermor også.

  • Carsten
11
2. august 2010 kl. 09:32

Strategien lyder, at det er bedre at forsøge at oplyse danskerne om god password-skik.</p>
<p>»Vi kan aldrig være 100 procent sikre på at sortere oplagte ord fra. Så vil vi hellere gå ud og plædere for sikre passwords gennem for eksempel Netsikker nu-kampagnen. Det er bedre at uddanne folk i, at de skal være opmærksomme,« siger Peter Lind Damkjær.

Så brugerne skal uddannes, men de skal ikke uddannes i at bruge kodeord med store/små bogstaver?

så indrømmer de vel også at den "uddannelse" kun er til deres system, og ikke en "almen uddannelse af god kodeords-skik hos brugerne".

12
2. august 2010 kl. 10:02

Det lader til at sålænge man bare laver løsninger med laveste fællesnævner, så er alle glade. Hvorfor overhovedet have et password, vi har da CPR nummeret vi kan bruge og det er der jo ingen der kender (sarkasme kan forekomme).

Jeg er imponeret over den middelmåddighed denne single sign on løsning er et udtryk for - lad VENLIGST være med at kalde det for en digital signatur - det er en hån!

Mvh Morten

8
2. august 2010 kl. 09:09

Det er jo en gammel debat; hvorvidt højere entropi (flere kombinationer) går lige op med dummere vaner (f.eks. nedskrivning af passwords).

Man kan jo også gå skridtet viddere og spørge om specialtegn ikke også skal incl. (f.eks. #$%&!+) der jo ligeledes forhøjer entropien.

Der vil altid være en balance imellem sikkerhed og convenience, men den primære fordel ved at kræve caps er at brute-force angreb bliver umulig i praksis. Men det lyder til at de har tænkt sig at beskytte sig imod dette.

Så DanID's praksis kan altid ikke helt få mit pis i kog, med et min-længde på 8 cifre snakker vi stadig > trillion kombinationer.

17
2. august 2010 kl. 11:42

Det er jo en gammel debat; hvorvidt højere entropi (flere kombinationer) går lige op med dummere vaner (f.eks. nedskrivning af passwords).

+1

DanID's udfordring er jo, at de først og fremmest skal bestå "the Mom-test". ALLE i Danmark skal kunne forstå og benytte denne løsning. Det i sig selv er en udfordring, der godt kunne få mig til at ryste i bukserne, hvis jeg sad som systemarkitekt.

Sammenligningen med Dankortet holder dog ikke helt. Man har ikke selv lov til at vælge sin pinkode på dankortet. Blandt andet derfor er 4 cifre nok.

Jeg tror de er godt sikret ved at spærre signaturen efter 5 forsøg. Du kan ikke brute-force på 5 forsøg, og du kan ikke snyde dig til flere forsøg ved distribuerede angreb, da forsøgene bliver logget pr. signatur.

  • Carsten
26
2. august 2010 kl. 13:09

Jeg tror de er godt sikret ved at spærre signaturen efter 5 forsøg. Du kan ikke brute-force på 5 forsøg, og du kan ikke snyde dig til flere forsøg ved distribuerede angreb, da forsøgene bliver logget pr. signatur.

Det lyder da lidt skummelt. Vil det sige at man kan lave (D)DoS-angreb på andres NemID, fx et script der forsøger en lang række kombinationer af gyldige/sandsynlige CPR-numre og 5 x forkerte koder - hvis man da kan gætte "forkert" ;-).

Hvis det er sandt er det da et interessant problem!

Så håber jeg for dig at du har krypteret det indscannede billede

Hvorfor? Papiret i sig selv er ikke "krypteret", men kan tabes/stjæles i den pung det sikkert befinder sig i. Ligeledes kan et scannet eksemplar, hvis det ligger på en laptop man har med sig. Ligger det kun på en desktop, vil jeg mene sikkerheden er højere, end ved at rende rundt med papiret.

31
2. august 2010 kl. 13:54

Det lyder da lidt skummelt. Vil det sige at man kan lave (D)DoS-angreb på andres NemID, fx et script der forsøger en lang række kombinationer af gyldige/sandsynlige CPR-numre og 5 x forkerte koder - hvis man da kan gætte "forkert" ;-).

Ikke med tilfældige cpr numre. Du skal bruge certifikatet, for det pågældende cpr-nummer.

  • Carsten
32
2. august 2010 kl. 14:00

@Carsten Gehling:

Ikke med tilfældige cpr numre. Du skal bruge certifikatet, for det pågældende cpr-nummer.

Nu har jeg ikke selv noget NemID, men jeg mente bare at have læst at man logger ind med CPR-nummer, din selvvalgte kode og én engangskode.

I modsat fald, går jeg udfra at man logger på med sit offentlige certifikat, eftersom en stor del af kritikken går på at din private nøgle ligger hos DanID. Men dit offentlige certifikat er vel i en eller anden grad... offentligt?

6
2. august 2010 kl. 08:53

Jeg er enig i, at det ikke betyder det store, om man skelner mellem store og små bogstaver, hvis bare der er nok tegn. Seks tegn er lidt i underkanten, men hvis der kun er fem forsøg, kan det sagtens gå. Men jeg ville nu foretrække, at man ikke satte nogen krav overhovedet til tegnsammensætningen (dvs. ikke krav om både bogstaver og tal), men til gengæld satte minimumslængden op til f.eks. otte tegn.

Hvis man vil undgå ordbogsangreb, så bør udbyderen lave en (krypteret) Googlesøgning på det foreslåede kodeord, og afvise det, hvis der er mere end 10 hits.

15
2. august 2010 kl. 11:33

Hvis man vil undgå ordbogsangreb, så bør udbyderen lave en (krypteret) Googlesøgning på det foreslåede kodeord, og afvise det, hvis der er mere end 10 hits.

På den måde får Google en database med passwords. Det synes jeg ikke særligt smart. Men et opslag i en lokal database med kendte passwords (køb en hos de kriminelle!) vil være en god ide.

56
Indsendt af Anonym (ikke efterprøvet) den tir, 08/03/2010 - 09:33

På den måde får Google en database med passwords.

Hmm. jeg ved ikke om vi snakker om det samme, men hvis man f.eks. snakker om MD5 eller SHA-x 'krypterede' kodeord, så prøv at lave en søgning på rainbow tables.

Jeg tror ikke Google behøver at lave sin egen database, da der tilsyneladende findes masser af den slags.

  • just my 0.02€
48
2. august 2010 kl. 19:01

På den måde får Google en database med passwords. Det synes jeg ikke særligt smart. Men et opslag i en lokal database med kendte passwords (køb en hos de kriminelle!) vil være en god ide.

Hvordan sikrer man at man har købt de kriminelles fulde viden om usikre passwords? Du har jo ikke lyst til at fortælle dem hvilken halvdel af deres ordlister de ikke behøver tjekke (de er trods alt kriminelle).

Men en måde man kunne implementere forslaget, hvis man virkelig vil, er at søge på Google efter md5-hashet af det ønskede password. Eksempel:

'nisser' skal afvises som et dårligt password, idet der er hits på "282256df3b307fa94d019e67d6f3ab04".

Men det frasorterer selvfølgelig en del færre dårlige passwords (der er ingen hits for nisser12).

49
2. august 2010 kl. 19:35

Nu skal man slæbe rundt på hele stabler af papir, bare for at komme på netbank. jeg har set meget crap indenfor IT, dette er det værste jeg endnu har set!

54
3. august 2010 kl. 03:07

Nu skal man slæbe rundt på hele stabler af papir, bare for at komme på netbank. jeg har set meget crap indenfor IT, dette er det værste jeg endnu har set!

Ja, det er til at græde over.

20
2. august 2010 kl. 11:46

En generel kommentar angående danskere passwordbrug: Jeg synes at man alt for sjældent advarer danskere mod at bruge æ, ø, å og tegn som ½ og § i passwords. Det virker sikker fint fra et dansk tastatur, men ve den stakkel der en dag sidder på et hotel i udlandet og prøver at logge ind på en bankkonto, og så opdager at tegnene mangler på tastaturet.

72
5. august 2010 kl. 09:57

ve den stakkel der en dag sidder på et hotel i udlandet og prøver at logge ind på en bankkonto, og så opdager at tegnene mangler på tastaturet

Omvendt kan det da gå helt galt, hvis det lykkes at logge ind fra en terminal, som man ikke selv har kontrol over:

Du ønsker at betale en regning, og din internetbank ser helt fin ud mens du indtaster beløb, modtager og diverse koder.

Men en kriminel har total kontrol med terminalen, så browseren er falsk og bruger under overfladen din (engangs)kode til at tømme din konto.

Så hvis man vil i banken i udlandet, så skal det ske med egen hardware - eller måske til nød med boot fra en medbragt live-CD/USB.

57
4. august 2010 kl. 16:19

(...) ve den stakkel der en dag sidder på et hotel i udlandet og (...) opdager at [æ, ø og å]mangler på tastaturet.

Så kopierer man dem bare fra tegnopsætningen (character map/charmap). Ellers skal der på den danske loginside nok være nogle ord med æ, ø og/eller å, hvorfra tegnene kan kopieres. ;)

58
4. august 2010 kl. 17:43

Så kopierer man dem bare fra tegnopsætningen (character map/charmap).

Kender du dens placering på et givent OS.

59
4. august 2010 kl. 18:26

Jada, Jesper. Det er min erfaring at hoteller og netcaféer kun operer med Windows, og så går man bare ind i Start > Tilbehør > Tegnopsætning (Start > Accessories > Character Map).

Ellers bare ind på første bedste dansksprogede webside og kopiere dérfra. :o)

22
2. august 2010 kl. 12:04

Det her er helt til grin. Så vil jeg sgu hellere vælge digitaliseringen helt fra.

9
2. august 2010 kl. 09:19

Jeg synes ikke helt det hænger sammen, er god password-skik ikke at følge det vi herinde kender som normal praksis? Sådan som jeg læser det her, så opgiver de helt at benytte god password-skik (samt fjerner muligheden for os andre at bruge det) fordi nogle brugere har svært ved at lære det, mens de samtidig påstår at de forsøger at oplyse os omkring det som de lige har skrottet.

"Men at droppe den skelnen, som ellers er normal praksis mange andre steder, er ikke noget problem for sikkerheden i den samlede løsning, siger Peter Lind Damkjær, kryptologi-ekspert hos DanID, som står bag NemID."

"Erfaringen fra supportopkald til netbank og den tidligere digitale signatur viser, at mange brugere kløjes i, om det er store eller små bogstaver, og om caps lock er slået til ved en fejl, lyder begrundelsen."

"Strategien lyder, at det er bedre at forsøge at oplyse danskerne om god password-skik."

Derudover at sammenligne vil jeg ikke mene at man kan sammenligne med det mere fysiske Dankort.

7
2. august 2010 kl. 09:05

Med den planlagte tilslutning er der snart 1 million brugere eller mere.

Så det er oplagt at benytte det samme password på forskellige brugernavne istedet for.

Med et botnet i baghånden burde man oven i købet kunne skifte ip adresse rimeligt ofte.

Det har de formentlig tænkt over.

:-)

4
2. august 2010 kl. 08:19

Er du sikker på at man må bruge _ ? :-)