Danskerne genbruger alt for ofte passwords: »Man udsætter sig selv for en stor risiko«

Det skader naturligvis ikke at man vælger tegn fra et stort alfabet, men "detteerenmegetlangadgangskodesadenersvaeratbruteforce" (53 tegn) er nu en gang mere sikker end "h3j!" (4 tegn).

Så mere nuancerede krav, hvor længde opvejer cifre og specialtegn

En del af problemet med simple passwords stammer fra it-aldrens barndom, hvor de typisk var højst 8 tegn (og ingen specialtegn eller nationale bogstaver).

Så kom pin-koderne - som desværre endte på 4 tegn / cifre.

Hvis nu vi istedet begynder at tale om passphrase, så bliver det lettere at få lange og huskbare sekvenser. F.eks. "Gud bevare Danmark" eller "I østen stiger Solen op". Det kniber så lidt med brug af cifre (enkelte romertal finder let anvendelse !) og med krav om specialtegn.

Så mere nuancerede krav, hvor længde opvejer cifre og specialtegn.

Men det hjælper ikke altid på huske-udfordringen.

Lad os kalde det et "løsen" - og ihvertfald ikke kodeord.

I ordnet.dk står: "løsen" = "kodeord eller remse der giver adgang til noget".

.. og der manglede så et ord: ".. i flere år ..".

Men hvordan gør man, når man bruger forskellige Pcere, med forskelligt OS og på forskellige lokationer, uden at skulle bruge en masse kræfter på at taste lange og umulige passwords ind?

"one ring to rule them all" -> "one password to rule them all"

Romertal udmærker sig ved at være - ja netop - bogstaver. :-)

Rædsomt og upraktisk. C for 100 er så ( og D for 500 er I) (et halvt tusind-tegn). V for 5 er et halvt X. Romertal er banale streger til at snitte i en stok. Men så gik der stormagt i systemet og det voksede ud over sine grænser. Systemet er glimrende til beskedne kvægflokke.

Dvs. du vil ikke anbefale brug af romertal i ens password?

Den delmængde af tal, der hedder cifre. :-)

Selv om man har rimelige og forskellige password, så er ens mail-password ofte et lækkert mål. For kan man nappe en mail, så kan man sende en "Jeg har glemt mit password, giv mig et nyt" til "sig selv" og fange mailen. Offeret vil da opdage det, når passwordet pludselig ikke duer. Måske beder man så bare om endnu et password. Men hackeren har altså et par timer til at lave sjove og spændende ting.

Jeg kan heller ikke lide de sikkerhedsspørgsmål, der er så almindelige. De er alt det, som man har bedt folk undgå i årtier. Bilens farve, kældeyrs navn ... Og de er nogle steder obligatoriske. Man kan selvfølgelig svare "bezoarged" til bilens farve og "trump" til kæledyr, men den slags forudsætter en pæn portion antiautoritær tankegang.

Det er ikke længe siden jeg blev opfordret til at skifte mit NemID password ud med en 4 cifret kode. Måske man skulle rette skytset andre steder hen, end mod den menige dansker.

Det er jo typisk victim blaming, når "vi" har problemer med at skifte passwords. Men problemet ligger et helt andet sted: Tiden er løbet fra passwords som authentikering. Selv med hæftigt krypterede passwords kan en bank eller webshop ikke holde dem hemmemige, hvis de hashede tekster slipper ud. Og der er grænser for hvor meget du kan huske - for 20-30 år siden var det til at overkomme at huske 2-3 passwords, men nu om dage skal du enten bruge det samme (meget dum idé) eller vælge noget der er nemt at huske (endnu dummere idé).

Så der skal helt andre metoder til. Og det ville da have klædt CFCS at bruge anledningen til at opridse mulighederne, måske endda stille krav til - i det mindste - offentlige myndigheders login.

Men nej, CFCS mener at det er vores egen skyld og at vi er til fare for os selv. Og jeg er sikker på, at når en bruger kommer i klemme i systsmet, så fralægger man sig ethvert ansvar. Jeg kan allerede høre anklageskriftet:

1. Passwordet var for nemt at gætte
2. Det er ikke skiftet i flere år
3. Det er måske lånt ud til andre
4. Det bruges alle mulige andre steder 5... fortsæt selv listen.

Sandheden er, at IT systemet har:

1. Accepetert selv det simplete password, uden at advare
2. Ikke har stillet anden authentikering til rådighed
3. Ikke har sørget for at minde om at skigfte password
4. Ikke har passet ordentligt på brugerdata, som er sluppet ud
5. Undladt at informere om databrud når det opdages.
6. Har lagret alt for meget information om os uden samtykke eller behov
7. Ikke har fulgt internationale retningslinjer for datasikkerhed.
8. Ikke har opdateret centrale IT systemer i tide
9. Ikke monitoreret trusselsniveauet og taget nødvendige forholdsregler.
10. Ikke har tilstrækkeligt uddannede sikkerhedskyndige i organisationen

Kom så i gang CFCS.

Jeg ser ikke nogen umiddelbare gode løsninger, som ikke bare flytter problemet et andet sted hen. Gør du?

It solves the problem of authenticating clients to servers securely, in cases where the user of the client software must memorize a small secret (like a password) and carries no other secret information, and where the server carries a verifier for each user, which allows it to authenticate the client but which, if compromised, would not allow the attacker to impersonate the client.

(fra http://srp.stanford.edu/whatisit.html)

Med SRP kan dit password ikke blive lækket fra serveren, og flere servere vil ikke kunne se, at du bruger samme password. Men hvis dit password bliver opsnappet på anden vis (f.eks. keylogger), så vil det selvfølgelig kunne bruges alle disse steder.

Der findes også en del løsninger som falder ind under 2FA, som f.eks. HW-tokens ... man så skal man så huske dem. U2F virker rimeligt fornuftigt, og WebAuthn såmænd også. Eller helt simple OTP løsninger.

Såkaldte SSO aka Single Sign On løsninger kan også være en forbedring, men det kommer godt nok meget an på, hvordan det bliver gjort. De bud som kommer fra Facebook og Google er jeg ikke så imponeret af (og her tager EFF det såkaldte "Project Verify" under kærlig behandling).

Og der er ingen som forbyder, at ovenstående alternativer kombineres, hvis det skal være særligt sikkert.

Hvorved vi så vender tilbage til:

Det er dit problem du genbruger passwords.

Hvis man baserer sit sikkerhedsdesign på antagelser om brugerne og deres adfærd, som man ved, eller bør vide, ikke er realistiske, så er man enten meget kynisk eller meget naiv. Specielt, når der findes bedre alternativer (se ovenfor).

Og jeg er efterhånden derhenne, at jeg mener, at staten burde opkræve en afgift de steder, hvor man synes at vi skal logge ind med flade passwords! Ikke per brug, men per password. Det bør ikke være en gratis omgang at forlange passwords.

Hvordan laver man et godt password i dag??

Bruger en passwordgenerator og sikrer at man ikke selv kender passwordet, slår to-faktor til, via en anden teknik end SMS eller email, slår notifications af alle suspekte loginforsøg til, bruger app-specifikke passwords, bruger certifikater. Det er da meget nemt, ikke?

Der er så utroligt mange sider der kræver man opretter en konto, selv om man ikke har behov for en, til de sider gider jeg ikke spilde tid på af finde på en kode så det bliver tit password, eller P@ssw0rd på de krævende sider

Hvis man bare kunne købe på nettet helt uden konto oprettelse, så ville man slippe for af oprette alle de ubrugelige kontoer, med tvilvsomme koder

Til bla pizzariaer og lign. De har sikkert en glemt password knap. Brug den og få et nyt password hver gang du betiller pizza. Mvh Finn

Hvis jeg altid brugte den samme PC, ville det være nemt at bruge meget stærke passwords. Jeg kunne blot lade passwordhuskeren tage sig af det, indtil de ændre layoutet og navnet på siden. Så kunne jeg benytte ”jeg har glem mit password” knappen.

Men hvordan gør man, når man bruger forskellige Pcere, med forskelligt OS og på forskellige lokationer, uden at skulle bruge en masse kræfter på at taste lange og umulige passwords ind?

Sidst jeg holdt godt styr på passeowds, havede jeg en liste på en USB stick med over hundrede steder og passwords. Det blev bare for meget arbejde, i forhold til andre angrebsvektore der åbnes op for.

Man må selvfølgeligt dele passwords op i kategorier efter vigtighed, men det ender jo ofte med næsten identiske passwords til diverse handelsplatforme og andre ret ligegyldige sites.

Jeg ser ikke nogen umiddelbare gode løsninger, som ikke bare flytter problemet et andet sted hen. Gør du?

Det er dit problem du genbruger passwords. Hvis man er i Apple verdenen, så foreslår telefon/browser på computer at lave unikt password, som deles på tværs af devices. Chrome har vist noget tilsvarende.

Problemet er, at brugerne ikke tager disse nye features til sig. De vil have have et nyt LinkedCrapshotBook, CrappyCrash etc end at bruge tid på at sætte ind i de nye features der kommer i gamle produkter.

Så det er vores egen skyld, at vi genbruger passwords?

Mon ikke problemet er, at der er alt for mange, som kræver passwords, og at der alt for mange, som tillægger passwords langt mere betydning i sikkerhedsmæssig sammenhæng, end de kan bære i praksis?

Hvorfor kan jeg ikke bestille en pizza online hos mit lokale pizzeria uden at jeg skal oprette mig med navn, adresse, email, telefonnummer og .... sgu! ... unikt password?

Lad os lige som tankeeksperiment vende den om: hvad nu hvis alle, som i dag kræver password, gav os et maskingenereret password med tilstrækkelig entropi til at løfte det forventede sikkerhedsniveau. Et password, som vi ikke kunne skifte til noget selvvalgt, men som automatisk blev skiftet med passende mellemrum.

Der ville gå sekunder før nettet smeltede ned, og support telefonerne glødede med "glemt password" henvendelser.

TL;DR: Det, som I beder om, er ikke realistisk. Kom nu ind i kampen!

Jeg synes ofte man glemmer at kigge på, hvor kritiske passwords er. Jeg bruger fx samme password til mit NFL Fantasy League og mit Premier League Manager spil, på Holdet.dk. Og ja, hvis det kodeord falder i de forkerte hænder, så har hackeren adgang til begge dele. So what?

Der, hvor der er behov for høj sikkerhed, er steder som netbank, e-mails, NemID, osv. Ikke på den konto man har på FarmorsHækleOpskrifter.dk. Måske vi skulle starte med at lære folk, hvor de skal fokusere?

Jeg vil her påpege at psykiatrien ikke på nuværende tidspunkt har kapacitet til at håndtere omkring 1 mill. ekstra patienter.

Den delmængde af tal, der hedder cifre. :-)

Tjah. Nogle vil mene at R kan udskiftes med 12 som vel er to cifre eller blot et enkelt tal ;-)

Når det så er sagt, så er min formodning at man efterhånden går mere op i længde end kompleksitet. Det skader naturligvis ikke at man vælger tegn fra et stort alfabet, men "detteerenmegetlangadgangskodesadenersvaeratbruteforce" (53 tegn) er nu en gang mere sikker end "h3j!" (4 tegn). Man kan selvfølgelig spice den første lidt op med at indsætte specialtegn og tal mellem ordene, i starten og / eller slutningen. Kan man engelsk, så kan man passende få inspiration på correct horse battery staple

Så vidt jeg kan lige kan læse mig frem til er denne teknik (eller i al fald det benyttede værktøj) designet til XP kodeord. Men det er selvfølgelig tankevækkende alligevel.

Jf. dansk lov så skal personer som er TIL FARE FOR SIG SELV OG ANDRE lukkes inde til behandling.

Jeg vil her påpege at psykiatrien ikke på nuværende tidspunkt har kapacitet til at håndtere omkring 1 mill. ekstra patienter.

Læse den her: https://cyberarms.wordpress.com/2010/10/21/cracking-14-character-complex-passwords-in-5-seconds/

"Hvis en webbutik bliver hacket, og hackerne får fat i alle brugernavne og passwords, så kan de i princippet få adgang alle de steder, hvor man har brugt det samme password."

Nja, kun hvis webbutiken er så snotdum at gemme passwords i klartekst. Det sker ganske vist stadig i sjældne tilfælde, men hvis webbutiken følger regler og sund fornuft, hasher og salter de kodeordene. Og så er ulykken trods alt begrænset hvis nogle får adgang til de hashede kodeord. Selvfølgelig er det vigtigt at man ikke bruger 123456 som kodeord fordi den slags lette kodeord kan slås op i tabeller (især hvis de ikke er salted).

det system der udskifter bogstaver i almindelige ord med tal og symboler

Jup det er derfor at Pape holder fast på, at spore os alle steder vi går hen. Det er til vores eget bedste, vi er jo ganske enkelt til fare for os selv.

// Jesper

Er det Center for CyberUsikkerheds nye motto?

"Det viser en undersøgelse fra Nordea ifølge Center for Cybersikkerhed, der advarer mod øget risiko for tyveri af data."

Javel så. CFCS er altså med på, at man udsender spørgeskemaer for at afdække it-brugeres password vaner. Er det ikke stik imod al sund fornuft.

Jeg tror da gerne på, at de der har svaret på sådan en undersøgelse ikke skifter password, men alle de fornuftige, der ikke har svaret - FORDI MAN IKKE SKAL SVARE PÅ NOGET SOM HELST DER HAR MED PASSWORD AT GØRE - sørger givervis også for at holde passwords sikre.

Jeg undrer mig altså over, at CFCS kan finde på at henvise til en så åbenlys komprimiterende undersøgelse. Hvad har de gang i?

Mon ikke vi i løbet af de kommende uger ser nye "undersøgelser" fra "banker" som gerne vil vide om du bruger ungernes eller kæledyrenes navne i dit password, og også gerne vil vide hvad din hund heddet?

CFCS mener vi er til fare for os selv, men CFCS hjælper da godt til selv. Kan nogen ikke give CFCS et sikkerhedskursus?

Det er alt for nemt at sige, at folk skal benytte stærke, unikke kodeord. Det gider de ikke, for der er ingen der kan huske dem (tror de). Jeg ved ikke hvad de officielle anbefalinger er, men jeg formoder at man stadig anbefaler det system der udskifter bogstaver i almindelige ord med tal og symboler, f.eks. Gardiner -> G@rdin3r. Det ville være meget bedre med diceware, gerne min. 5 ord, og så kombinere med en password manager så der benyttes unikke passwords til hver konto.