Ekspert: Tvunget skift af password er en sikkerheds-sovepude

Illustration: vladwel/Bigstock
Microsoft har fjernet periodisk skift af password fra deres sikkerheds-baseline. Og den irriterende sikkerhedspolitik har heller ikke den store berettigelse, siger ekspert.
14

I sidste uges opdatering til deres Security Baseline fjernede Microsoft det som standardindstilling, at brugerne skal skifte kodeord hver anden måned.

Læs også: Microsoft: Stop med at tvinge brugerne til at skifte password i tide og utide

Og det er der god grund til, mener Head of Security & Technology hos it-revisionsselskabet PriceWaterhouseCoopers (PWC) Mads Nørgaard Madsen.

»Det har længe været en diskussion, om det giver noget for sikkerheden at tvinge folk til at skifte deres kodeord. Problemet er, at vi som mennesker ikke kan huske de her komplekse kodeord. Så det, vi gør, er, at vi bare taster 1 til sidst, så 2 til sidst, osv.,« siger han.

»Men vi ændrer faktisk ikke kodeordet. Så det er falsk tryghed at tro, at det at vi skifter kodeordet hver måned eller hver tredje måned, flytter ret meget sikkerhedsmæssigt. Jeg vil næsten postulere, at det er bedre at have et komplekst kodeord, man ikke skifter.«

I stedet kan det ende med at blive implementeret per automatik, uden at det er blevet overvejet hvorfor.

Bliver tvungent passwordskift en slags sovepude for virksomheder, hvor man bare implementerer det uden at tænke over det, fordi det er en standardting?

»Ja, det vil jeg sige. Jeg tror, at man de fleste steder har gjort det, fordi alle siger, man skal gøre det. Alle sikkerhedsrådgivere har jo også altid slået på det, når der har været noget med en sikkerhedsløsning: ’Hov hov, I skal jo også lige skifte kodeord hver måned’.«

Ikke alle passwords er lige

Det er Microsofts security baseline-opdatering, som denne gang har sat udløbende passwords på dagsordenen, og det er også ofte brugernes Windows-login, som udsættes for den politik.

Men det kan også være problematisk, for et Windows-login er ikke nødvendigvis det mest sårbare login, der findes i en organisation.

»Diskussionen om password-skift handler ofte om Windows-login, men når vi ser på hændelserne, så handler de rigtig store bekymringer om login til cloud-services.«

»Hvis man for eksempel tager Office 365. Det login har rigtigt mange virksomheder kun brugernavn og password på, og det er simpelthen ikke godt nok. Der skal være tofaktor-autentifikation på de services, og det kan kun gå for langsomt.«

Dårlig beskyttelse mod avancerede angribere

Et argument for udløbende passwords kan være, at der er sket en stor stigning i credential stuffing-angreb, hvor hackere bruger store lister af e-mails og passwords lækket fra tidligere hacks til at forsøge at få adgang til konti, hvor brugerne har brugt samme password.

I sådanne tilfælde kan tvungent passwordskift forhindre en gammel kode fra et tidligere læk i at give adgang til nye systemer. Men Mads Nørgaard Madsen mener ikke, det kommer til at gøre den store forskel.

Fordi tvunget passwordskift ofte resulterer i en lille, forudsigelig ændring, kan en avanceret angriber nemlig let justere sin credential stuffing til at tage højde for små variationer.

»Hvis jeg laver et script, som automatisk prøver alle de lækkede passwords på for eksempel Office 365, så vil passwordskift hjælpe. Men der skal ikke meget energi til at skrive mit script, så hvis et password slutter på 04, så prøver den også lige med 05, 06, 07 osv. Og så er jeg jo inde alligevel.«

Det er ikke nok med brugernavn og password

I sidste ende mener Mads Nørgaard Madsen, at man bør sikre brugernes adgang på helt andre måder. Man bør bruge multifaktor-autentifikation eller helt gå væk fra passwords.

»Hovedkonklusionen er, at du simpelthen skal have tofaktor-autentifikation slået til,« siger han.

Har tvungent skift af password nogen berettigelse som del af en sikkerhedsstrategi?

»Nej, det synes jeg faktisk ikke. Fokus bør være på at supplere login med MFA eller helt gå væk fra kodeord generelt.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Cederberg

... på reel udruldning af ordentlig two-factor authentication (dvs. noget der virker lige så nemt som når jeg bruger fingeraftryk til at låse min telefon op), så er der mange steder man kunne tage fat.

Single-signon hvor brugerens credentials flyder fra hans PC login til de services han tilgår, uden at han skal logge ind hvert eneste sted. Det vil sikre at man ikke kan lokke brugeren til at taste sit PW ind på fake websites.

Samtidigt vil det også fjerne mængden af "password filer" rundt omkring - herunder fjerne mulighedne for idiotiske ideer om at gemme de første 3 password tegn i klartekst eller for den sags skyld hele pw. I praksis kræver en password baseret sikkerhedsløsning at brugeren stoler på sikkerheden hos den service man authentikeres hos. En tillid som ofte viser sig malplaceret.

Povl H. Pedersen

Er MFA en garanti mod Phishing ? NEJ NEJ NEJ.
Det er trivielt at lave realtime-login i forbindelse med at Phishing angreb, og det bliver standarden når MFA får en passende markedsandel. Ved de fleste SAML logins, som det vel handler om her, så får man en token med en levetid på et sted mellem 1 time og 1 måned.

Som jeg ser det, så er den eneste løsning der duer om 1 år, at man kun tillader brugergodkendte logons fra kendte lokationer. Altså for VPN forbundne devices.

En anden løsning kunne være klientcertifikat i browser til logons. Dette kræver hack af den fysiske enhed for at løfte cert ud. Og på Windows maskiner kan man sagtens lade dem selv forny hver 30 dag eller hurtigere.

Der vil være en udfordring med at få hældt certifikat (til VPN eller user authentication) på enhederne, men det er den vej man er nødt til at gå.

En sikkerhedsmodel hvor brugeren indtaster brugernavn/password på phiskerens webside duer ikke. Heller ikke selvom brugeren skal bekræfte bagefter, for brugeren i i god tro og vil godkende.

Vi skal have den godtroende bruger ud af ligningen. Eller som minimum have ham nedgraderet til en sekundær faktor, så brugerens handlinger alene ikke kan give 3die part adgang, som med eksempelvis Microsoft MFA.

MFA er døende. Vi skal have certifikatbaseret logons.

Kristian Rastrup

Passwords forsvinder ikke.
Hvorfor? Fordi folk forstår hvordan de virker og nemt kan bruge dem og derfor overgår de alle andre løsninger som VPN eller client certifikater. Derfor har de virket i 60+ år trods talrige forsøg på at finde et alternativ.
Og derfor er alle anbefalede løsninger kun støtte til fortsat password brug: 2FA, Password managers

Og ellers læs Troy Hunts blog https://www.troyhunt.com/heres-why-insert-thing-here-is-not-a-password-k...

Claus Juul

Lige som projektledelse har en trekant (kvalitet, tid og pris) har passwords en trekant, den har følgende sider:
1) Grad af beskyttelse, hvor godt er passwordet beskyttet, i windows er der tale om en NTLM hash, hvilket ikke er særligt stærkt.
2) Angrebsstyrke, hvor let er det at bruteforce den anvendte beskyttelse, altså hvormange milliarder af NTLM hash's kan man beregne pr. sek.
3) Perioden mellem at man skifter passwords, hvilket skal være hurtigere end hvad det er muligt at bruteforce passwordet.

Med typisk engelsk karaktersæt incl. store, små, tal og specialkarakter tager det omkring 4,5 timer for en maskine med 8 GPU'ere at beregne alle kombinationsmuligheder på op til 8 karakter. Lidt længere med et dansk tegnsæt (ca 1,5-2 timer mere)

Det handler "bare" om at få trekantens ligning til at gå op.

og ja et væsentligt længere password på 14-16 karakter uden krav om store, små, tal og specialkarakter tager længere tid at bruteforce end 8 karaktere med store, små, tal og specialkaraktere.

Næste aspekt bliver så, er der sikkerhed for at brugere ikke bare vælgere "password12345678" i stedet for "P@ssw0rd", det er her hvor password audit kommer i spil. Altså en funktion der kan tage alle de kendte dårlige og allerede kompromitterede passwords der findes og undersøger om de anvendes i ens egen organisation.

I mine øjne er 2FA/MFA bare en udvidelse af passwordet, så der er en mere statisk del og den del der skrifter fra gang til gang, dvs et delvist nyt password hver gang.

Per Gøtterup

I dag er meget af 2FA reelt kun to variationer over et password - et klassisk password og så en kode fra enten en kodegenerator eller en SMS man får tilsendt, altså endnu et password med kort levetid. Det er en del bedre end 'bare' et password, men der er plads til forbedring. Når en kodegenerator med den rette konfiguration kan generere den rigtige kode så kan dette replikeres med rette viden og man kan - bevæbnet med dit password - logge ind mens du går rundt og tror at du er sikker. Okay, kodegeneratorerne er ikke blivet knækket endnu men det er muligt.

En fysisk 'dims' man har og skal sætte til telefonen eller computeren er et skridt videre. Der er kun den samme dims så hvis den ligger i din lomme kan man bare ikke logge ind på din konto. Denne dims - f.eks. en YubiKey - rummer et unikt tal, og kombineret med en challenge som den modtager kan den regne ud hvad den skal svare. Algoritmen er envejs og kan sagtens være kendt. Men tallet inde i dimsen kender ingen (svarer på en måde til password før hashing) og bruges når dimsen tilføjes som nøgle og når du logger ind. Når det enkelte site sender en unik challenge og når din dims er unik , så kan kun den rette nøgle låse op, og der er milliarder af mulige svar og så kan det her ikke knækkes medmindre dimsen kopieres i den fysiske verden, og det kan man ret let forhindre med noget selvdestruktion.

Michael Cederberg

Er MFA en garanti mod Phishing ? NEJ NEJ NEJ.

Det kommer selvfølgeligt an på hvilken MFA løsning der vælges.

MFA er døende. Vi skal have certifikatbaseret logons.

De to ting udelukker ikke hinanden. En af faktorerne i MFA kunne være et certificat. Men at forestille sig at brugere skulle vedligeholde "pose" af certificater til de sites han tilgår ... det har jeg ikke fantasi til at forestille mig. Uanset det, så er ideen med two-factor auth at man skal have noget i hovedet og noget i hånden. Det er en sund sikkerhedsregel ved authentication.

Passwords forsvinder ikke.
Hvorfor? Fordi folk forstår hvordan de virker og nemt kan bruge dem og derfor overgår de alle andre løsninger som VPN eller client certifikater. Derfor har de virket i 60+ år trods talrige forsøg på at finde et alternativ.

Passwords virker fint til ting der betyder meget lidt. Men sikkerhedsværdien ligger primært i at man kan lukke adgangen efter N fejlede forsøg. Og det store problem ligger i alle mulige former for phishing. En password-only løsning vil altid være sårbar.

og ja et væsentligt længere password på 14-16 karakter uden krav om store, små, tal og specialkarakter tager længere tid at bruteforce end 8 karaktere med store, små, tal og specialkaraktere.

Næste aspekt bliver så, er der sikkerhed for at brugere ikke bare vælgere "password12345678" i stedet for "P@ssw0rd", det er her hvor password audit kommer i spil. Altså en funktion der kan tage alle de kendte dårlige og allerede kompromitterede passwords der findes og undersøger om de anvendes i ens egen organisation.

Mennesker kan ikke huske sikre passwords. De passwords som mennesker kan huske kan computere knække hurtigt. Og i øvrigt gider ingen taste et 20 tegns password bestående af tilfældige tal og bogstaver ind for at tilgå deres telefon eller email.

Michael Cederberg

I dag er meget af 2FA reelt kun to variationer over et password - et klassisk password og så en kode fra enten en kodegenerator eller en SMS man får tilsendt, altså endnu et password med kort levetid. Det er en del bedre end 'bare' et password, men der er plads til forbedring. Når en kodegenerator med den rette konfiguration kan generere den rigtige kode så kan dette replikeres med rette viden og man kan - bevæbnet med dit password - logge ind mens du går rundt og tror at du er sikker. Okay, kodegeneratorerne er ikke blivet knækket endnu men det er muligt.

Hvis kodegeneratoren ligger på en separat stykke hardware (fx. RSA securID eller NemID nøgleviser) så har den samme sikkerhed som din fysiske dims. Faktisk er sikkerheden på nogle punkter bedre, fordi protocollen mellem et RSA securID eller en NemID nøgleviser og din computer er 100% kendt. Det er den ikke hvis du bruger en USB port (eller for den sags skyld en RS232).

Jens Madsen

Der skal ikke meget password til, før det er sikkert.

De største sikkerhedsfaktorer jeg kan komme på er følgende:

a) Du læser dine emails, på en offentlig computer, og glemmer at logge ud, eller dit password gemmes. Herefter får en hacker adgang til din email, måske linkedin, og andre steder, du enten har glemt at logge ud, eller dit password er gemt.

b) Stort set alle steder, tilbyder de at du kan få dit password sendt med email, til din email adresse. For alle glemmer jo sit password, når man skal huske så mange, og skifte hver 2. uge.

c) Du har fået malware på pc'en som opsnapper dine passwords. Uanset, du udskifter dem, så bliver de sendt videre, indtil du får fjernet mailwaren. Måske tror du bare, den er fjernet, fordi at antivirusserne ikke opdager den. Der er et stort antal problemer, som antivirusser ikke kan fange.

d) Du bruger dit hemmelige password, hos andre end dem den skulle bruges til - for du er så vandt til at taste den...

e) Nogle får adgang til din PC, og finder ud af dine passwords. Måske fordi din browser gemmer dem.

Det er meget sjælden at passwords direkte gættes. Normalt, så er det tale om, at den enten hentes ud af ens egen PC, en PC man har brugt f.eks. på bibliotek, måske kan den opsnappes via wifi, hvis ikke at krypteringen er sikker nok, og mange har trådløs tastatur, så du kan side i en bil udenfor, og se det som tastes.

Og det kan også ske, at administratorer logger alle passwords, også de forkerte, så du oplyser dit password til banken, når du logger ind på en side. Vi kan så diskutere, om dette er lovligt.

Jens Madsen

Hvis kodegeneratoren ligger på en separat stykke hardware (fx. RSA securID eller NemID nøgleviser) så har den samme sikkerhed som din fysiske dims. Faktisk er sikkerheden på nogle punkter bedre, fordi protocollen mellem et RSA securID eller en NemID nøgleviser og din computer er 100% kendt. Det er den ikke hvis du bruger en USB port (eller for den sags skyld en RS232).


Når du anvender en kodegenerator som i dag i ekstern hardware, så er sikkerheden begrænset, da alle data er kendt for PC'en. De data, som sendes fra tastaturet er ukrypteret, og derfor har PC'en mulighed for at se - og ændre - i alt.

Den mest sikre metode, er at sikre de indtastede tal og ordre, kommer fra computerens tastatur. Det kan kun gøres, hvis der sættes en hardwareenhed imellem tastatur og pc. Eventuelt, kan mus også tilkobles hardwareenheden.

Hardwareenheden vil kunne generere nogle sikre nøgler, på baggrund af det som afsendes fra tastaturet, og derved er også garanti for, at beløb og tekst, kommer igennem hardware enheden.

Vi kan f.eks. forestille os, at tastatur og mus sættes på hardwareenheden. Når der køres i sikker tilstand, vil musens bevægelser omsættes til pil venstre, pil højre, pil ned og pil op, og kan sendes af sted sammen med tastaturindtastninger. Det betyder, at den tekst, eller data som sendes af sted, kun afhænger af det som sendes ud fra tastaturet, også selvom musen bruges, til at klikke tilbage i teksten med, da det bare kodes som nogle gange pil tilbage eller pil op. Teksten kan kodes, og det eneste computeren ved, er antallet af taster. Eller, den kan sendes ukodet til PC'en, men med en sikkerhedskode, der kan garantere at de pågældende informationer er genereret af hardwarenøglen, og er kommet fra tastaturet.

Kun ved at sende data igennem nøglen, er vi i stand til at give sikkerhed for, at de kommer fra tastaturet, og ikke er "opfundet" af computeren. Ellers, så har vi en nøgle uden data, og kan opfinde data selv. Det er sådan, at den nuværende nøgle-id løsning virker. Det er en god sikkerhed, men det er en nøgle uden data, og dermed ingen information som sendes sikkert. Sikker indformation, skal altid igennem nøglen - den må ikke sendes udenom nøglen.

Det er meget nemt at vurdere sikkerheden. Enhver metode, hvor tastaturets ledning ikke fysisk går igennem en hardwareenhed er dårlig. Går den igennem en hardwareenhed, så afhænger sikkerheden alene af hardwareenheden, og ikke af PC'en. Hvis data vises på PC'en, vil de naturligvis altid kunne aflyttes, men ikke forfalskes. F.eks. password vises med stjerner og vil ikke kunne kendes af PC'en. Et password må dog kun indtastes når en lysdiode lyser eller blinker på hardwareenheden, der indikerer der skal indtastes et password. Bedst er, at også kombinere det med en fingertryksaftaster, og altid kræve password efter fingeraftryk aftastes.

Fremtidens fingeraftryksaftastere anvender flere forskellige farver lys samtidigt, herunder lys i IR området, og er derved i stand til at give en større sikkerhed ved aftastningen. Bruges f.eks. en afskåret finger, vil det kunne ses i forhold til en normal finger, ud fra spektrat der detekters ved fingerscanningen. Blodet ændrer hurtigt farvespektrum, når det ikke får ilt, og det er muligt at detektere puls.

Michael Cederberg

b) Stort set alle steder, tilbyder de at du kan få dit password sendt med email, til din email adresse. For alle glemmer jo sit password, når man skal huske så mange, og skifte hver 2. uge.

Heldigvis er den slags websites efterhånden få. De fleste tilbyder at sende et link du kan bruge til at resette dit password. På den måde behøver de ikke gemme det password. Det du beskriver burde være straftbart.

Når du anvender en kodegenerator som i dag i ekstern hardware, så er sikkerheden begrænset, da alle data er kendt for PC'en. De data, som sendes fra tastaturet er ukrypteret, og derfor har PC'en mulighed for at se - og ændre - i alt.

Her bliver vi nok ikke enige. De tokens jeg snakkede om handler om authentication. Hvis man har token kan man authentikeres. Uden token, ingen authentikering.

Ved siden af det er der en diskussion af et sikre kommunikationen mod man in the middle attacks. Der er også en diskussion af hvordan man laver digitale signature. Det er bare noget andet end authentikering.

Jens Madsen

Her bliver vi nok ikke enige. De tokens jeg snakkede om handler om authentication. Hvis man har token kan man authentikeres. Uden token, ingen authentikering.

Ved siden af det er der en diskussion af et sikre kommunikationen mod man in the middle attacks. Der er også en diskussion af hvordan man laver digitale signature. Det er bare noget andet end authentikering.


Jeg benægter ikke, at du kan opnå authentication, og at den med hardware er udenfor PC'en. Men, når der ikke går data igennem enheden, så er der intet der er signeret. Så data er usikker. Det eneste som er sikker er et TRUE. Du kan have software, der ændrer i data, og bruger dit TRUE som du har accepteret. Går data derimod igennem sikkerhedsenheden, så har den mulighed for at signere data, således de ikke kan ændres. Og det er derfor ikke muligt at misbruge dit TRUE, da du både har et TRUE, samt du har sikre data tilknyttet, der går direkte fra tastaturet gennem enheden, der genererer sikkerhedskoden på grundlag af data fra tastaturet.

Jeg har ikke benægtet, at du har authentication med den nuværende metode. Men, du har kun et TRUE. Du har ingen authentication af data. For de går ikke igennem nøgleviseren. Så i princippet kan malware på PC'en manipulere og ændre i data. Eller software kan lave kopier af hjemmesiden, og logge et TRUE du af dig, og bruge den til hvadsomhelst. Det er ikke muligt, hvis der går de rette data igennem en fysisk enhed, da man så kan sikre sig, at f.eks. kontonumrene og beløbene er korrekte, da de kommer fra tastaturet, og gennem kodningen. Hvis hardwaren er sikker, så er såvel kontonumrene som beløbene dermed signeret af tastaturet og korrekte, og de er signeret samlet i en pakke.

Martin Sørensen

Ifht. TFA, så kan man godt komme ind i en catch-22 hvis man f.eks. bruger til telefon som den 2. enhed. Sidste år var jeg ude at rejse og tilbage på hotelværelset kunne jeg ikke finde min telefon, så jeg blev naturligvis lidt nervøs og begyndte at tænke igennem hvor jeg kunne have efterladt den.
Det er en Android telefon så jeg tænkte at jeg burde kunne se hvor den er vha. https://www.google.com/android/find. Jeg logger derfor ind fra min laptop men da jeg naturligvis sidder på en ny IP så kræver det TFA for at logge ind, og det var selvfølgeligt min telefon der var sat op til det.. Lidt senere fandt jeg dog telefonen helt uden hjælp fra Google. :-)

Log ind eller Opret konto for at kommentere

Tryg-CSO: Hvis man skulle beskytte sig teknisk mod alle cyberangreb, kunne man ikke længere arbejde

4

Manden bag fænomenet Shodan: Jeg havde ikke troet, det ville blive så stort

3

Tech-redaktør: Android-restriktioner er en katastrofe for Google

18
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Webinar: Sådan får du med datavask fuldstændig styr på dine Cisco-serviceaftaler
Whitepaper
Whitepaper
How to drive GDPR compliance with vulnerability management
Webinar
Webinar
Lær hvordan din it-afdeling effektivt kan standardisere og automatisere processer i SMV'er
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder