DanID afviser password-kritik: Ligegyldigt at skelne mellem store og små tegn
Både tal og små og store bogstaver. Sådan lyder en efterhånden meget udbredt konvention for sikre passwords, men til kodeordet for den nye nationale digitale signatur, NemID, er det anderledes.
Her kan brugerne vælge et kodeord med kun små bogstaver og tal, for der bliver ikke skelnet mellem store og små bogstaver. Det har fået mange Version2-læsere og andre it-professionelle til at undre sig eller ligefrem dumpe løsningen.
Men at droppe den skelnen, som ellers er normal praksis mange andre steder, er ikke noget problem for sikkerheden i den samlede løsning, siger Peter Lind Damkjær, kryptologi-ekspert hos DanID, som står bag NemID.
»NemID er beskyttet mod brute force-angreb ved, at man kun får fem forsøg, før den låser. Med den gamle digitale signatur kunne du forsøge alle de gange, du ville, når man havde kontrol over nøglefilen. Så sikkerheden i NemID er god nok,« siger han.
Han sammenligner med Dankortet, som bankerne står bag og løbende vurderer sikkerheden i.
»Med et Dankort lukkes kontoen efter tre forsøg. Men der er det sikkert nok at bruge fire tal som password, og vi går så et skridt videre, når vi kræver seks tegn og både tal og bogstaver,« siger han.
Sammenlignet med Dankortets pinkode kommer der med NemID også et ekstra lag beskyttelse, nemlig de engangskoder, som bliver sendt ud til brugerne på små kort.
Brugerne bliver forvirrede af store og små bogstaver
Erfaringen fra supportopkald til netbank og den tidligere digitale signatur viser, at mange brugere kløjes i, om det er store eller små bogstaver, og om caps lock er slået til ved en fejl, lyder begrundelsen.
Så selvom man fra NemID's side med lidt javascript nemt kan registrere, om folk har caps lock aktiveret, når de forsøger at logge ind, har man altså helt fravalgt at skelne mellem store og små bogstaver, forklarer Peter Lind Damkjær.
Den beslutning blev taget i en arbejdsgruppe med repræsentanter fra IT- og Telestyrelsen, bankerne og DanID, dengang hele løsningen blev designet.
Ønsker man et bomstærkt kodeord, er der rig mulighed for det, siger Peter Lind Damkjær. Man kan bruge visse specialtegn i sit kodeord og gøre det op til 40 tegn langt.
Frygter ikke indlysende passwords
DanID er heller ikke bekymret for, om nogle danskere vælger et kodeord, der er alt for indlysende.
Der bliver i hvert fald ikke tjekket for ord som eksempelvis 'password1'. Eneste krav er, at kodeordet ikke rummer cpr-nummer eller brugernavn, og at der ikke er fire ens tegn i træk.
»Vi sammenligner ikke med typiske dictionary attacks. Det vil normalt også være kontekstafhængigt, hvad der er et oplagt ord for folk, for eksempel konens tidligere efternavn, og det ville være uhyre svært for os at sikre os imod,« siger Peter Lind Damkjær.
Strategien lyder, at det er bedre at forsøge at oplyse danskerne om god password-skik.
»Vi kan aldrig være 100 procent sikre på at sortere oplagte ord fra. Så vil vi hellere gå ud og plædere for sikre passwords gennem for eksempel Netsikker nu-kampagnen. Det er bedre at uddanne folk i, at de skal være opmærksomme,« siger Peter Lind Damkjær.
NemID er Danmarks nye digitale signatur og blev lanceret 1. juli.
Løsningen har været kritiseret for at samle de private nøgler, som hver borger får tildelt, på en central server, i modsætning til den tidligere løsning, hvor nøglerne lå lokalt på borgerens computer.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
