Efterretningstjeneste: Drop strikse password-regler

Illustration: leowolfert/Bigstock
Kodeord kan nemt blive et svagt led i it-sikkerhedskæden, hvis brugerne bliver overbelastet med hyppige kodeordsskift eller strikse krav som tal og specialtegn.

Et kodeord, der umiddelbart er svært at gætte, kan i praksis være et rigtigt dårligt kodeord. For det øger risikoen for, at brugeren omgår sikkerheden for at huske kodeordet. Det er et velkendt dilemma, og nu tager den britiske efterretningstjeneste GCHQ derfor et opgør med flere af de etablerede gode råd til password-sikkerhed.

Det er eksempelvis en udbredt praksis, at brugerne skal skifte deres kodeord med jævne mellemrum, der kan spænde fra 14 til 90 dage. Tanken bag denne politik er, at sandsynligheden stiger som en funktion af tiden for, at kodeordet er kompromitteret. Ved at skifte det hyppigt, får en hacker et kort tidsinterval til at udnytte kodeordet i.

Denne taktik kan især være nyttig, hvis brugeren har genbrugt det samme kodeord flere steder. Men det er bedre at hjælpe brugeren med at have et godt beskyttet kodeord, lyder det fra GCHQ's it-sikkerhedsafdeling CESG.

Problemet med at tvinge brugeren til at skifte kodeord hyppigt er, at det øger risikoen for, at brugeren sænker sikkerheden omkring kodeordet ved eksempelvis at skrive det ned eller vælge et nyt kodeord, der blot er en iteration af det gamle kodeord. Som eksempelvis 'nuskaljegskiftekodeordigen0915'.

Hos Center for Cybersikkerhed i Danmark, er man enig med den britiske anbefaling:

»Center for Cybersikkerhed er enig i, at man ikke skal bede brugere om at skifte password for tit. Hvis der er et krav om hyppig skift af password, er der større sandsynlig for, at brugerne skriver det ned på en seddel, og at de ikke ændrer det ret meget i forhold til det forrige password. De militære bestemmelser på området angiver 180 dage som passende. CFCS er også enig i, at passwords skal være lette at huske, for det er ikke ensbetydende med, at de er lette at gætte,« skriver Center for Cybersikkerhed i et e-mailsvar til Version2.

Læs også: Forsker: Tvungen passwordskift er brugerchikane - og giver ikke mere sikkerhed

I stedet for hyppige kodeordsskift kan organisationen i stedet implementere overvågning af login-forsøg. Det kan bruges til at opdage usædvanlige login-mønstre og eventuelt give brugeren besked om alle login-forsøg, så brugeren kan gøre indsigelse, hvis der sker login, som brugeren ikke selv har foretaget.

Denne praksis bruges eksempelvis af Google, Facebook og Microsoft, hvor brugeren får besked, hvis der logges ind via en ny enhed eller fra en IP-adresse i et andet land.

Her kan det så i øvrigt være en god idé at sørge for, at det er relativt let for brugeren at skifte kodeordet, hvis der er blot den mindste mistanke om misbrug.

Tanken bag er den samme som det rutinemæssige skift af kodeordet, nemlig at kodeordet kan være kompromitteret, uden brugeren eller systemadministratoren ved det.

Hjælp brugeren med kodeordsadministration

Et andet problem, GCHQ tager fat i, er mængden af adgangskoder, som brugeren skal bruge. Selv inden for den samme organisation kan det være nødvendigt for brugeren at have adgangskoder til forskellige systemer.

Det kan afhjælpes med single-sign-on-løsninger, men kan også klares med password-managers som eksempelvis Lastpass. Her er det imidlertid vigtigt, at it-afdelingen stiller et redskab til password-administration til rådighed.

Alternativt risikerer man, at brugerne benytter de samme koder på flere systemer, eller skriver kodeordene ned på lapper på skrivebordet eller gemmer dem i tekstfiler.

Mange kodeord kan også få brugerne til at vælge dårlige adgangskoder, som er lette at knække, hvis en hacker eksempelvis får fat i en database med hashværdier af kodeordene.

Talrige eksempler fra hacking af systemer fra alt fra banker til dating-sider viser, at en stor del af brugerne vælger kodeord, som er overordentligt lette at gætte med moderne metoder.

Modtrækket har traditionelt været at opstille krav til kodeordene. Det kan være et mindste antal tegn, brug af både store og små bogstaver, tal og specialtegn.

Men nyere eksempler på lækkede kodeordsfiler viser, at det ofte fører til, at brugerne ikke skaber et stærkt kodeord ud fra det opstillede krav, men derimod konstruerer noget, de kan huske, som blot formelt opfylder kravene.

Det resulterer i kodeord som 'p@s5WorD777!', som vil opfylde de formelle krav og vil kategoriseres som 'stærkt' af de automatiske kodeordstjekkere, som mange tjenester anvender. Kodeordet består imidlertid af det meget anvendte 'password' med nogle meget almindelige udskiftninger af tegn, kombineret med en meget populær talrække og det mest populære specialtegn til slut.

Derfor vil sådan et kodeord være i risikozonen for at blive knækket i et dictionary-angreb med substitutionsregler, hvis hackeren har mulighed for det.

Giv 10 forsøg med forkert kodeord

Kodeord, der består af tilfældige tegn, skulle på papiret give den bedste sikkerhed, men i praksis resulterer sådanne kodeord i, at brugerne enten skriver dem ned eller glemmer dem.

For at være tilfældige bliver denne type kodeord genereret af software, men for at undgå usikker opbevaring eller opkald til supportafdelingen, så bør man benytte de varianter, der genererer kodeord, som består af eksempelvis fire tilfældige ord eller kombinerer tilfældige vrøvlestavelser til kodeord som 'akaytiobu'.

Disse er mindre sikre end et helt tilfældigt kodeord, men kan kombineres med overvågning af loginforsøg for at højne sikkerheden.

Overvågningen kan så bruges til eksempelvis at indsætte en forsinkelse mellem loginforsøg efter et antal fejlslagne forsøg.

En udbredt praksis er stadig at låse brugeren ude efter tre fejlslagne forsøg. Det er imidlertid en praksis, som kan føre til, at både supporten og brugeren skal bruge tid på at nulstille kodeord.

At låse brugeren ude efter blot tre forsøg er unødvendigt i forhold til eksempelvis at gøre det efter 10 forsøg, hvor brugeren har haft bedre chancer for på egen hånd at finde frem til, hvad brugeren taster forkert.

Opbevar kodeordene sikkert

De store overskrifter om millioner af knækkede kodeord kommer alle fra de tilfælde, hvor hackere har fået adgang til password-filen eller en database med kodeordene.

Kodeordene bør altid lagres som en hashværdi, og her lyder anbefalingen, at man anvender standardimplementeringer af anerkendte algoritmer. Det kan eksempelvis være bcrypt eller PBKDF2.

Mange af disse hash-funktioner giver mulighed for at anvende et 'salt', der er en ekstra tekststreng, som føjes til kodeordet, inden det sendes gennem hash-funktionen. Her bør man benytte et unikt salt til hver brugers kodeord, anfører professor og krypteringsekspert Ivan Damgaard, Aarhus Universitet.

»Hvis man får fat i filen med hashede passwords, kan man gennemprøve en række sandsynlige passwords, hashe dem alle sammen, og se om man får et match med det, der er i filen,« skriver Ivan Damgaard i en e-mail til Version2.

Ved at tilføje et unikt salt for hver bruger, så skal en hacker starte forfra for hvert kodeord i stedet for blot at kunne begynde fra en ende af og gætte alle kodeord i én gennemkørsel.

Visse hash-algoritmer som eksempelvis MD5 og SHA1 anvendes stadig til eksempelvis tjek af filer, der overføres i storagesystemer, men det er algoritmer, hvor det er muligt med en enkelt kraftig arbejdsstation udstyret med flere grafikkort at gennemløbe over en milliard kodeord pr. sekund.

Derfor bør man anvende nyere algoritmer, hvor hvert gennemløb tager længere tid og ikke kan deles op i parallelle udregninger. Sådanne algoritmer bruges som standard i platforme som eksempelvis PHP, og man bør altid anvende disse implementeringer fremfor ældre eller hjemmestrikkede hashfunktioner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Torben Mogensen Blogger

Vi har haft denne diskussion før, og i den forbindelse blev xkcd selvfølgelig citeret: http://xkcd.com/936/

Udover dette, så udvider tvang til at bruge både store og små bogstaver, cifre og specialtegn alfabetet fra 26 tegn (små bogstaver uden æ, ø og å) til ca. 80 tegn, altså fra 4,7 bit til 6,3 bit. 6,3/4,7 = 1,34, så med 34% flere tegn har et kodeord med kun små bogstaver lige så mange bit som et kodeord med alle kategorier. Mindre kan faktisk gøre det, for alene det, at det er et krav, at der skal være fire tegnkategorier i et kodeord giver et par bits information.

Mange sider kræver min. 8 tegn og fire kategorier. Men 11 små bogstaver giver faktisk flere bit (51,7 mod 50,6). Så et krav om minimum 11 tegn uden restriktioner er faktisk bedre end 8 tegn med restriktioner.

Man skal selvfølgelig undgå "almindelige ord". En god ordbog indholder over 100.000 opslag, og det er ikke medregnet bøjningsformer, så lad os sige 200.000 ord. Det er altså 17.6 bit per ord. Så tre ord giver os 52,8 bit. Så en sammensætning af minimum tre ord, der tilsammen er på mindst 11 tegn giver faktisk en sikkerhed, der er mindst lige så god som de normale krav. Forudsat, at ordene ikke forekommer almindeligt sammen. Så ikke "rødgrødmedfløde", men gerne "tekrusraketmus".

  • 12
  • 0
#2 Michael Hansen

Det eneste jeg hører når de er afsender af det:

1) Lad være med at skifte password for tit, så vi har længere tid til at brute force jeres passwords 2) Lad være med at bruge komplekse passwords så vi har nemmere ved at bruge force jeres passwords.

Derudover vil jeg nu generelt anbefale multi faktor authentikering, ikke at de beskytter 100%, men trods alt bedre end det de her foreslår, dog undtaget afsnittet om bcrypt / PBKDF2 som jo er fint nok.

  • 3
  • 4
#3 Thomas Nielsen

Jeg hører nu også noget andet, nemlig at der skal uddannes mere. Uanset om man ellers kan lide de øvrige anbefalinger, så er netop uddannelse gevaldigt dårligt prioriteret. I hvert fald har jeg endnu ikke hørt om almindelige brugere som bliver undervist i at danne gode kodeord og hvad god kodeordspraksis er. Dét ville være rat at se implementeret i dansk erhvervsliv på lige fod med code of conduct og compliance og hvad vi ellers har af gode danske forretningsdyder.

  • 5
  • 0
#4 Mads Grøftehauge

Mit yndlingseksempel på den slags misforstået adgangskodesikkerhed er et ekstranet hos en kunde jeg har, hvor man skal logge ind med en kode, som skal have forskellige slags tegn, store og små bogstaver mv. De er så flinke at skrive et eksempel, måske 25Mhj_lK eller lign. Gæt om det er muligt bare at copy-paste eksemplet og bruge det som adgangkode...

  • 3
  • 0
#5 Hans Schou

Vi har haft denne diskussion før,

Og siden da, har jeg on&off prøvet om jeg kunne få SSL Client Certificate til at virke på en fornuftig måde. Det duer fint med de fleste browsere, men så bare ikke med smartphones og tablets. Plus at det er alt for kompliceret at håndtere og kopiere nøgler rundt. Ærgerligt, da det ellers ville give en god sikkerhed.

Idéen er ellers god. Generer en privat og offentlig nøgle. Den private nøgle bliver hjemme på harddisken, og der er password på den. Den offentlige nøgle deler man rundhåndet ud, og det er så det eneste der er eksponeret på Ashly Madison etc. Hvis nogen vil prøve brugeroplevelsen, kan det nemt prøves hos startssl.com Sign-up, hvor nøgler genereres online i javascript.

  • 1
  • 0
#7 Torben Mogensen Blogger

Jeg bruger ikke æ, ø og å i passwords, som jeg kunne tænkes at skulle tilgå fra andre maskiner end min egen. Det er lidt surt at sidde med tjekkisk tastatur og ikke kunne finde de danske bogstaver. Til gengæld kan jeg afsløre, at jeg ikke har den begrænsning på min laptop (hvor tastaturet er fastmonteret). :-)

Og apropos æ, ø og å: https://www.youtube.com/watch?v=f488uJAQgmw

  • 3
  • 0
#8 John Anker Corneliussen

beskytter man sig mod kiggen over skulderen eller hackere - og skal man kunne bruge sit password fra en ikke dansk computer - det er ting der hører med i betragtningen. samtidigt skal man være i stand til at finde frem til sit password fra glemselens gemmer ... I sin tid på Daimi sagde den vise birger at man skal bruge remser af en art som udgangspunkt for sine passwords - det kunne være ens yndlingsbørnesang for eksempel Ole sad på en knold og sang - det ville kunne udtrykkes i et password som for eksempel osp1KoS - stort K fordi knolden var stor - og stort S fordi han skrålede i vilden sky ... Velvalgte passwords på denne form kan have vilkårlige bogstavkombinationer helt uden genkendelige bogstavsammenstillinger. - hvilket så gør at man kan syreteste sit password med en kollega ved at skrive det på en seddel og vise det til kollegaen i lad os bare sige 30 sekunder - og så 2 minutter efter bede kollegaen om at gengive det - kan kollegaen det - så er det op på hesten igen ...

selv passwords som tekrusraketmus som er fint mod hackere vil ikke bestå syretesten ... og passwords på formen ringo35 etc. vil man kunne huske til sin dødsdag og vil i øvrigt være lette ofre for dictionary baserede hacker angreb.

når man så har fundet sit fantastiske password starter man sin yndlings editor og gentager tilpas mange gange lad os bare sige 200 til det er indlært i den kinæstetiske sans og ens fingre kan levere passwordet hurtigt nok til at selv de mest opmærksomme autister ikke kan nå at få tastatur bearbejdningen til at give mening - godt hjulpet af at passwordet ikke består af kendte stavelser. - der vil selvfølgelig være eksempelvis tre og fire bogstavs akronymer som kan give en hvis mening for nogen som for eksempel twrp for en android udvikler eller sfc for en windows system fætter ... - happy passwording out there :))

  • 2
  • 0
#9 Kasper Holm-Jørgensen

Det er pudsigt at læse denne artikel. Jeg fortalte netop mine kollegaer i fredags om en oplevelse på min sidste arbejdsplads, hvor alle som en del af deres ansættelse skulle på en times intro i virksomhedens IT politik. Her prøvede jeg forgæves at forklare IT-chefen, at jo sværre politikerne blev lavet, jo nemmere blev brugers passwords. Hvis "September15" blev accepteret, så blev det "December15" når det skulle skiftes ... Jeg blev nærmest latterliggjort, det var det dummeste han havde hørt, og havde ikke hold i virkeligheden...!

  • 7
  • 0
#10 David Nielsen

kan anbefale at bruge en password husker app - og dermed kun skulle huske master-dekryptering-password'et (og et stærkt et til den)

de fleste har auto generate password funktioner indbygget og browser-plugins.

fx. 1password hvis man bruger mac.

  • 1
  • 0
#12 Hanne Kristensen

Personligt bruger jeg passwords i 2 kategorier. Den første er ikke vigtige steder som har en enkel kode. Den anden er temmelig vigtige steder, hvor jeg bruger en rimeligt kompleks kode, som jeg i starten har skrevet ned. Det er ikke et problem at skrive ned, problemet er hvor man opbevarer det nedskrevne. Det komplekse password varierer jeg en smule på en måde der er let at huske på forskellige sites. Efter et par uger husker jeg det komplekse password og variationerne opstår i relation til de enkelte sites.

  • 1
  • 0
#15 Peter Perlsø

Overskriften i weekendnyhedsbrevet gav mig en øjeblikkeligt association til præcis den stribe. Den er herlig.

Som Fredagshumor kan jeg sige at da jeg opredde konto her på v2 legede jeg med sitets evaluering af mit password...

"123456" blev vurderet til at være nogenlunde (så er vi på niveauet af det Græske økonomiministerium).

"abcd1234" blev vurderet til at være stærkt. :)

God weekend.

  • 0
  • 0
Log ind eller Opret konto for at kommentere