Derfor taber du spillet om at skifte password hver 90. dag

Illustration: leowolfert/Bigstock
Et simpelt spil Rød mod Blå gør det muligt finde en bedre strategi end at skifte password hver 90. dag. Den gamle taktik virker kun mod en dum modstander.

LONDON: Det er nærmest mejslet i sten, at det er god skik at tvinge sine brugere til at skifte adgangskode hver 90. dag. Men er den taktik virkelig effektiv?

Det satte udviklingsafdelingen hos RSA sig for at teste ved at bruge spilteori og et meget simpelt spil for to spillere, Rød og Blå, som blandt andet er kendt som 'Flip It', hvor det gælder om for eksempel at overtage kontrollen med et felt på et bræt. Eller for en hacker at få fat på en adgangskode.

»Spillet kører fortløbende i tid, ikke i ture, og modstanderen kan foretage et træk på et vilkårligt tidspunkt og overtage kontrollen, så der er ikke noget perfekt forsvar. Den eneste mulighed er at genvinde kontrollen ved selv at foretage et træk,« forklarer teknisk chef Ari Juels fra RSA.

Spillerne optjener point for den tid, de har kontrol over brættet, og hvert træk har en omkostning.

»For passwords kan det for eksempel være det, det koster i helpdesken hver gang en bruger glemmer sit password,« siger Ari Juels.

En anden vigtig regel i Flip It er, at man ikke ved, om modstanderen har foretaget et træk. Man får kun status at vide, når man selv foretager et træk og spiller altså i blinde. Det passer også meget godt på problemet med, om en hacker har fået fat i eksempelvis databasen med passwords.

De bedste strategier for at vinde spillet viser sig at være afhængige af, om modstanderen er i stand til at tilpasse sin strategi efter den måde, du spiller på.

»Hvis modstanderen ikke tilpasser sig, så er den bedste strategi at spille med regelmæssige træk som eksempelvis at ændre adgangskoderne hver 90. dag. Men det virker ikke godt mod en modstander, der tilpasser sin strategi,« siger Ari Juels.

Det er eksempelvis ikke specielt vanskeligt for en hacker at finde ud af, om en virksomhed tvinger medarbejderne til at skifte passwords med et fast interval, og i så fald kan han med relativt lille indsats time sine angreb sådan, at han har de nye adgangskoder i længst mulig tid.

Et eksempel på, at den strategi ikke virker mod en snu modstander, er fødevarekontrollen, hvor det ikke nytter at besøge virksomhederne på en fast dag hvert år. Derfor bruger fødevarekontrollen tilfældige besøg, og det er en god strategi, som også kan bruges til adgangskoder.

»Det viser sig, at der faktisk er en bedre taktik, nemlig en forskudt eksponentiel frekvens, hvor man stadig kan have et gennemsnit på 90 dage,« forklarer Ari Juels.

En god strategi er nemlig en eksponentiel variation i frekvensen, hvor man fastholder den samme periode i gennemsnit, men de præcise ændringer sker tilfældigt set udefra. Den taktik har dog større omkostninger, fordi man kan risikere, at brugerne tvinges til at skifte adgangskoder to dage i træk, hvor man således betaler omkostningerne for et skift, som sandsynligvis er unødvendigt.

Derfor kan man bruge en forskudt eksponentiel frekvens, hvor man eksempelvis beslutter, at der skal gå mindst 10 dage mellem hvert skift, men i gennemsnit vil det stadig være cirka hver 90. dag, at brugerne skal skifte koden.

En anden lektie fra Flip It er imidlertid, at én af de allerbedste strategier er at spille sine træk så hurtigt som muligt efter hinanden. For at det kan lade sig gøre, er man nødt til at gøre omkostningerne ved at foretage et træk så lave, at man kan gøre det meget hurtigere end modstanderen.

»Vi kan spille så hurtigt, at den bedste strategi for modstanderen er helt at lade være med at spille,« forklarer Ari Juels.

Det forudsætter imidlertid, at man bygger en infrastruktur, hvor omkostningerne ved at foretage sine træk er så lave, at et træk stort set intet koster i forhold til gevinsten, og det er ikke muligt ved en normal brugernavn og adgangskode autentificering.

Version2's rejse og deltagelse i RSA Conference Europe 2012 er betalt af RSA.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm Blogger

Jeg har aldrig helt rigtigt forstået 90-dages reglen. Jeg kan kun se det som IT-afdelingens udtrykl for at de ikke kan garanterer sikkerheden af deres håndtering af kodeord.

Jeg kan ikke huske mange gode og ofte skiftende kodeord. Derfor bliver jeg nødt til at anvende en af følgende metoder: - Anvende samme password flere steder - Andvende simple passwords - Skrive passwords ned - Anvende samme password over længere tid

Min vurdering er at den sidste metode giver mig mest sikkerhed under den antagelse at IT-afdelingen er kompetente og i øvrigt fortæller mig hvis deres database bliver kompromiteret.

  • 9
  • 0
Anonym

90 dages reglen er lavet så det er så simpelt at en IT revisor kan forstå det og sætte et kryds på en liste over ting vedkommende i grunden ikke har forstand på at føre revision over.

Næste udfordring er, at der er ikke mange på ledelsesniveau uden for en IT afdeling, der kan forstå eller gennemskue hvad IT sikkerhed er, og det bliver set som en pestilens så man tillader (gennemtvinger) usikre 90 dages regler - for gør man 90 dages reglen sikker så kan folk ganske enkelt ikke huske deres passwords og så er vil tilbage til gule post-it på skærmen eller under tastaturet - eller folk har det skrevet ned og gemmer det i deres tegnebog.

Jeg vil godt vædde med at i de fleste virksomheder, der har folk ret godt styr på hvor mange gange de har skiftet password. Deres passwords er typisk skiftende tal foran eller bagved det password de brugte siden den første dag de mødte på jobbet.

Lad folk beholde deres password i længere tid hvis det overholder password regler og der er to faktor godkendelse. Krydr det evt med login analyse (som man f.eks. ser ved Gmail) hvor et skift af login rytmer automatisk gennemtvinger et password skift (eller 2 faktor godkendelse)

  • 11
  • 0
Lars Hansen

Min vurdering er at den sidste metode giver mig mest sikkerhed under den antagelse at IT-afdelingen er kompetente og i øvrigt fortæller mig hvis deres database bliver kompromiteret.

Hvis du har en god lang adgangskode, og du kan garantere, at den ikke indtastes andre steder fra, så ingen keylogger eller lignende overvågningsdims lurer den. Det er der meget få, der kan, du kan dog måske. Men, kan du ikke, eller kan du ikke garantere det, for alle dine brugere, er det klart mest fornuftigt at skifte koderne, og lade dem blive husket, så folk ikke vender tilbage til de gamle.

For rigtig mange almindelige brugere, tror jeg ikke det er sønderligt realistisk at forvente, hvis man vil vende nogen service ud imod dem, hvor en kode i sig selv giver adgang.

RSA vil i bund og grund nok gerne sælge deres SecureID to faktor authentication produkter, og i mange henseender, er det måske også fornuftigt nok at investere deri. Jeg må dog helt ærligt sige, at det var en lang smøre af en artikel, for at gøde op for den holdning, endda uden at nævne den direkte.

Adgangskoder er passé hvis de skal tastes og anvendes fra terminaler man ikke har tillid til / fra det offentlige rum. Der skal sikres med flere faktorer. Så snart man har accepteret det faktum, må man jo så gøre op med ledelsen i et givent firma eller sig selv, hvor meget sikkerhed man vil betale for i kroner ører og bøvl.

  • 0
  • 2
Søren Schrøder

...at mine password ofte er af typen "n+1". dvs "He$te17" skiftes til "He$te18" ... det er svært at opfinde nemt huskbare password på minimum 7 karakterer med Store og små bogstager, specialtegn og tal uden genbrug hele tiden. Så hvad er vundet ved disse regler ?

Jeg kan iøvrigt henvise til XKCD's fine input on emnet:

http://xkcd.com/936/ og så

http://correcthorsebatterystaple.net/ som kan generere "XKCD036 compliant passwords"

  • 3
  • 0
Lars Hansen

Så hvad er vundet ved disse regler ?

Man sænker antallet af successrige angreb, men man sikrer sig ikke så meget man kan.

Så, det handler om, hvad dit formål er. Er det, at minimere risici, eller er det, at nærmest eliminere enhver risiko.

Vil du betale for to faktor authentication eller ej? Eller, synes du, at siden du ikke vil betale, så kan det være helt ligemeget, eller er det nok for dig, at du ved, at du til en hvis grad har mindsket de succesrige angreb?

  • 0
  • 1
Bjørn Damborg Froberg

Jeg bruger LastPass. Jeg har få konti som jeg har et password jeg kan huske til, som jeg så skifter med jævne mellemrum. Tilfældige tal/tegn/symboler. Til alt andet har jeg tilfældigt genererede lastpass kodeord - hvis jeg absolut har behov for at skulle tilgå noget, uden at være i nærheden af en lastpass - så har jeg stadig mulighed for at lave password recover og skifte det.

Jeg går så også rundt med et hw krypteret flash drev med en portable firefox på, til nødsituationer, hvis det skulle være nødvendigt at "låne" noget udstyr et sted. Det virker for mig - og har da endnu ikke oplevet at være blevet kompromitteret.

Synes en større bekymring nødvendigvis må være, hvis jeg brugte det samme password alle steder - eller få variationer af det samme. Jeg stoler ikke så meget på sikkerheden af mit password på eksempelvis et forum, som jeg gør på gMail.

Det er ikke idéelt, bevares, men for mig der fungerer det nu indtil videre.

  • 2
  • 0
Mogens Hansen

du får mulighed for at diskutere dette emne med din systemadmin, så stil ham følgende spørgsmål:

1) Nævn de 3 vigtigste tjenester for dig personligt på nettet 2) På en skala fra 1 til 5, hvor katastrofalt vil det være for dit privatliv/sikkerhed/økonomi hvis andre fik adgang til dine data på de sites? 3) Hvor mange af de sites har bedt dig om at skifte password inden for det sidste år?

  • 1
  • 0
Chano Klinck Andersen
  • 0
  • 0
Flemming Hansen

Selvfølgelig. Men der var slet ingen sammenhæng til nuværende password. Det må være mange passwords tilbage i tiden. Men det kan man jo også mutere forslag til nyt password og så sammenligne hash værdi af det muterede med hashværdier af tidligere passwords. Så med en avanceret muteringsrutine kan det vel lade sig gøre. Tvivler dog stadig på, at der er et så avanceret system. Jeg undlod at skifte og lod være at logge på. Det var ikke et system jeg bruger mere end en gang hver halve år. Så jeg skal skifte hver gang jeg bruger det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere