DKCERT: Websteder stiller for få krav til passwords

Ud af 48 undersøgte websider overholdt kun ét enkelt kravene om god passwordpolitik.

Det er for nemt at slippe af sted med simple passwords som 'girafhale' eller 'undertegnede123'. Det skriver DKCERT i en pressemeddelelse.

Udmeldingen kommer på baggrund af en analyse fra password-managerfirmaet Dashlane, som har analyseret password-politikken hos 37 forbrugerrettede og 11 virksomhedsrettede websteder. Ganske simpelt har Dashlane undersøgt, hvorvidt websiderne overholder følgende fem krav:

  1. Et password skal være på mindst otte tegn.

  2. Et password skal bestå af en kombination af bogstaver, tal og specialtegn.

  3. Webstedet skal vise brugeren en vurdering af, hvor stærkt brugerens password er.

  4. Webstedet må højst tillade ni mislykkede forsøg på login. Derefter skal det gennemtvinge en sikkerhedskontrol, f.eks. ved at spærre for flere forsøg, kræve en CAPTCHA-kode (Completely Automated Public Turing test to tell Computers and Humans Apart) eller kræve to-faktor-autentifikation.

  5. Webstedet skal understøtte to-faktor-autentifikation.

I sidste ende kunne Dashlane konkludere, at kun et enkelt websted ud af de 48 undersøgte faktisk overholdt kravene.

Selv anbefaler Dashlane, at man af hensyn til risikoen for brute force-angreb laver passwords med minimum 12 tegn.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Makholm Blogger

Jeg hæfter mig lidt ved regl nummer 2 om at et kodeord skal bestå af en kombination af bogstaver, tal og specialtegn. Dette er som jeg forstår det i modstrid med den seneste 'Digital Authentication Guideline' fra NIST.

Er der en jounalist der kunen bruge 5 minutter på at ringe til DK-CERT og få dem til at uddybe denne afvigelse? Er det et bevidst valg at man fastholder denne anbefaling eller er man bare mere konservative end NIST?

  • 17
  • 0
#2 Povl Hansen

Jeg er lige glad hvis jeg skal hente en prøve version af Photoshop skal jeg oprette en bruger hvis jeg skal købe en CD på nettet skal jeg oprette en bruger

så hvis nogen af de 37 forbrugerrettede og 11 virksomhedsrettede er ovenstående steder så er mit meget hemmeligkode ord nok noget i stil med "qwerty" da det er en konto jeg er lige glad med og ikke har nogen planer om af bruge mere

Kunne man ikke også lave et krav om af sider ikke må kræve konto oprettelse, hvis man ikke har nogen som helst af bruge den konto til , se det ville være en regel som jeg syntes ville være brugbar

  • 14
  • 0
#4 Malthe Høj-Sunesen

NIST siger jo ikke, at man ikke må blande bogstaver og symboler.

NIST siger derimod, at der er ingen grund til at kræve en blanding - men at man som bruger bør kunne bruge alle ASCII-tegn, også ikke-synlige tegn, og emojis. Samtidig skal der hellere lægges vægt på at kodeordet er langt (mindste anbefalede maxlængde er 64 tegn, gerne længere) end at det er kompliceret.

Men de anbefalinger er baseret på, at flere og flere virksomheder tilbyder 2FA.

Helt præcist siger NIST: "Verifiers SHALL require subscriber-chosen memorized secrets to be at least 8 characters in length. Verifiers SHOULD permit subscriber-chosen memorized secrets at least 64 characters in length. All printing ASCII [RFC 20] characters as well as the space character SHOULD be acceptable in memorized secrets. Unicode [ISO/ISC 10646] characters SHOULD be accepted as well. [...] Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets.", https://pages.nist.gov/800-63-3/sp800-63b.html#sec5

Bemærk hvad SHALL, SHOULD og SHOULD NOT betyder: "The terms “SHALL” and “SHALL NOT” indicate requirements to be followed strictly in order to conform to the publication and from which no deviation is permitted. [...] The terms “SHOULD” and “SHOULD NOT” indicate that among several possibilities one is recommended as particularly suitable, without mentioning or excluding others, or that a certain course of action is preferred but not necessarily required, or that (in the negative form) a certain possibility or course of action is discouraged but not prohibited.", https://pages.nist.gov/800-63-3/sp800-63-3.html#def-and-acr

  • 1
  • 2
#6 Casper Olsen

Sådan - så opfylder jeg Dashlane krav til passwords, endda brute force sikret... (Stærk ironi forekommer, og ja koden ville til dels virke fint med 2FA)...

Når det kommer til passwords, så det værste faktisk de sider, som begrænser længen af ens kode til fx 16 tegn. Jeg kan godt li' lange koder, og har ikke et problem med at huske dem.

Det værste tilfælde jeg til dato har oplevet, er en side som begrænser koden til 8 tegn. De har endda været så flinke også at begrænse input feltet til kun at tillade samme antal, så man opdager ikke bare sådan lige når man taster sin kode, med mindre man er 110% opmærksom...

  • 0
  • 1
#8 Peter Hansen

Grundlæggende handler det jo om, at jo mere "uforudsigelig variation" et password indeholder, jo bedre, men det er åbenbart for abstrakt et begreb til, at almindelige brugere kan forstå det jfr. DK-CERT's vejledning.

Det er klart modsatrettede anbefaliger til hvad en "Verifier" bør kræve.

Ja men hvis man til gengæld læser denne NIST-anbefaling bogstaveligt:

When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a list that contains values known to be commonly-used, expected, or compromised. For example, the list MAY include, but is not limited to: • Passwords obtained from previous breach corpuses. • Dictionary words. • Repetitive or sequential characters (e.g. ‘aaaaaa’, ‘1234abcd’). • Context-specific words, such as the name of the service, the username, and derivatives thereof.

If the chosen secret is found in the list, the CSP or verifier SHALL advise the subscriber that they need to select a different secret, SHALL provide the reason for rejection, and SHALL require the subscriber to choose a different value.

... kunne man rent teoretisk ende i et scenarie, hvor HIBP's liste over password-hashes bruges som grundlag for at afslå et ønsket password. Det vil i praksis nok have en endnu mere negativ effekt end DK-CERT's relativt fremkommelige krav til sammensætningen.

https://haveibeenpwned.com/Passwords

Jeg synes i øvrigt, at DK-CERT's anbefaling om at visualisere graden af "uforudsigelig variation" med farvekodning eller lignende over for brugeren er en god og pædagogisk måde at tydeliggøre konsekvenserne af brugernes valg for dem selv. Så er det et åbent spørgsmål, om man oven i det skal forbyde de ringeste passwords.

  • 0
  • 0
#9 Peter Makholm Blogger

Jeg synes i øvrigt, at DK-CERT's anbefaling om at visualisere graden af "uforudsigelig variation" med farvekodning eller lignende over for brugeren er en god og pædagogisk måde at tydeliggøre konsekvenserne af brugernes valg for dem selv.

De fleste tilgængelige widgets er mildest talt ringe og er ofte biased mod bestemte former for variation. Når de virker er det mere af psykoogiske grunde (nudging) end at de reelt set viser styrken af et kodeord.

Det er selvfølgelig værd at tage med, men skal holds op imod at nogle målinger direkte strider imod hvad der er gængs holdning til hvad et sikkert og let huskbart kodeord er.

Og nå nu ingen andre vil så: Correct horse battery staple

  • 1
  • 0
#12 Peter Hansen

De fleste tilgængelige widgets er mildest talt ringe og er ofte biased mod bestemte former for variation. Når de virker er det mere af psykoogiske grunde (nudging) end at de reelt set viser styrken af et kodeord.

Og det er vel også godt nok, hvis man ikke er naturvidenskabelig idealist?

Det kunne i øvrigt være interessant, hvis jeg kunne lokke dig til at uddybe ovenstående betragtning med en konkretisering af dette "bias mod bestemte former for variation", hvis vi nu tager udgangspunkt i zxcvbn som eksemplificeret på Ben Kennish' hjemmeside?

https://www.bennish.net/password-strength-checker/

Jeg synes i øvrigt, at Diogo Mónica har nogle interessante overvejelser omkring password-politik (hvor han også forholder sig til correct horse battery staple-memet...

https://diogomonica.com/2014/10/11/password-security-why-the-horse-batte...

  • 0
  • 0
#13 Jacob Christian Munch-Andersen

De dårligste målere tæller blot hvor mange intetsigende passwordregler man overholder, så et point for hver tegnkategori, og et point hvis det er over en bestemt længde, typisk 6 eller 8 tegn, så fuld plade til "Aaaaaa1!" og kun 2/5 til "vopavrnwsnyfwhjtczqk"

Hvis man gerne vil vide hvor dårligt en password-styrkemåler fungerer, så kan jeg anbefale at man leger find-det-dårligste-password-som-giver-max-rating.

Den ovenfor linkede ( https://www.bennish.net/password-strength-checker/ ) er bestemt ikke blandt de dårligste, men man kan sagtens finde huller, eksempelvis giver "bbq bbq" max score, "bbq" er, på trods af at det er en almindelig forkortelse, ikke i den ordbog som måleren bruger, dertil er der ingen straf for at gentage ord, så den ender med at give en score som var det en tilfældig blanding af 7 styk små bogstaver og specialtegn, hvilket lige akkurat har nok entropi til at give max score.

  • 1
  • 0
Log ind eller Opret konto for at kommentere