Ekspert: Tvunget skift af password er en sikkerheds-sovepude

... på reel udruldning af ordentlig two-factor authentication (dvs. noget der virker lige så nemt som når jeg bruger fingeraftryk til at låse min telefon op), så er der mange steder man kunne tage fat.

Single-signon hvor brugerens credentials flyder fra hans PC login til de services han tilgår, uden at han skal logge ind hvert eneste sted. Det vil sikre at man ikke kan lokke brugeren til at taste sit PW ind på fake websites.

Samtidigt vil det også fjerne mængden af "password filer" rundt omkring - herunder fjerne mulighedne for idiotiske ideer om at gemme de første 3 password tegn i klartekst eller for den sags skyld hele pw. I praksis kræver en password baseret sikkerhedsløsning at brugeren stoler på sikkerheden hos den service man authentikeres hos. En tillid som ofte viser sig malplaceret.

Er MFA en garanti mod Phishing ? NEJ NEJ NEJ. Det er trivielt at lave realtime-login i forbindelse med at Phishing angreb, og det bliver standarden når MFA får en passende markedsandel. Ved de fleste SAML logins, som det vel handler om her, så får man en token med en levetid på et sted mellem 1 time og 1 måned.

Som jeg ser det, så er den eneste løsning der duer om 1 år, at man kun tillader brugergodkendte logons fra kendte lokationer. Altså for VPN forbundne devices.

En anden løsning kunne være klientcertifikat i browser til logons. Dette kræver hack af den fysiske enhed for at løfte cert ud. Og på Windows maskiner kan man sagtens lade dem selv forny hver 30 dag eller hurtigere.

Der vil være en udfordring med at få hældt certifikat (til VPN eller user authentication) på enhederne, men det er den vej man er nødt til at gå.

En sikkerhedsmodel hvor brugeren indtaster brugernavn/password på phiskerens webside duer ikke. Heller ikke selvom brugeren skal bekræfte bagefter, for brugeren i i god tro og vil godkende.

Vi skal have den godtroende bruger ud af ligningen. Eller som minimum have ham nedgraderet til en sekundær faktor, så brugerens handlinger alene ikke kan give 3die part adgang, som med eksempelvis Microsoft MFA.

MFA er døende. Vi skal have certifikatbaseret logons.

Passwords forsvinder ikke. Hvorfor? Fordi folk forstår hvordan de virker og nemt kan bruge dem og derfor overgår de alle andre løsninger som VPN eller client certifikater. Derfor har de virket i 60+ år trods talrige forsøg på at finde et alternativ. Og derfor er alle anbefalede løsninger kun støtte til fortsat password brug: 2FA, Password managers

Og ellers læs Troy Hunts blog https://www.troyhunt.com/heres-why-insert-thing-here-is-not-a-password-k...

Lige som projektledelse har en trekant (kvalitet, tid og pris) har passwords en trekant, den har følgende sider: 1) Grad af beskyttelse, hvor godt er passwordet beskyttet, i windows er der tale om en NTLM hash, hvilket ikke er særligt stærkt. 2) Angrebsstyrke, hvor let er det at bruteforce den anvendte beskyttelse, altså hvormange milliarder af NTLM hash's kan man beregne pr. sek. 3) Perioden mellem at man skifter passwords, hvilket skal være hurtigere end hvad det er muligt at bruteforce passwordet.

Med typisk engelsk karaktersæt incl. store, små, tal og specialkarakter tager det omkring 4,5 timer for en maskine med 8 GPU'ere at beregne alle kombinationsmuligheder på op til 8 karakter. Lidt længere med et dansk tegnsæt (ca 1,5-2 timer mere)

Det handler "bare" om at få trekantens ligning til at gå op.

og ja et væsentligt længere password på 14-16 karakter uden krav om store, små, tal og specialkarakter tager længere tid at bruteforce end 8 karaktere med store, små, tal og specialkaraktere.

Næste aspekt bliver så, er der sikkerhed for at brugere ikke bare vælgere "password12345678" i stedet for "P@ssw0rd", det er her hvor password audit kommer i spil. Altså en funktion der kan tage alle de kendte dårlige og allerede kompromitterede passwords der findes og undersøger om de anvendes i ens egen organisation.

I mine øjne er 2FA/MFA bare en udvidelse af passwordet, så der er en mere statisk del og den del der skrifter fra gang til gang, dvs et delvist nyt password hver gang.

I dag er meget af 2FA reelt kun to variationer over et password - et klassisk password og så en kode fra enten en kodegenerator eller en SMS man får tilsendt, altså endnu et password med kort levetid. Det er en del bedre end 'bare' et password, men der er plads til forbedring. Når en kodegenerator med den rette konfiguration kan generere den rigtige kode så kan dette replikeres med rette viden og man kan - bevæbnet med dit password - logge ind mens du går rundt og tror at du er sikker. Okay, kodegeneratorerne er ikke blivet knækket endnu men det er muligt.

En fysisk 'dims' man har og skal sætte til telefonen eller computeren er et skridt videre. Der er kun den samme dims så hvis den ligger i din lomme kan man bare ikke logge ind på din konto. Denne dims - f.eks. en YubiKey - rummer et unikt tal, og kombineret med en challenge som den modtager kan den regne ud hvad den skal svare. Algoritmen er envejs og kan sagtens være kendt. Men tallet inde i dimsen kender ingen (svarer på en måde til password før hashing) og bruges når dimsen tilføjes som nøgle og når du logger ind. Når det enkelte site sender en unik challenge og når din dims er unik , så kan kun den rette nøgle låse op, og der er milliarder af mulige svar og så kan det her ikke knækkes medmindre dimsen kopieres i den fysiske verden, og det kan man ret let forhindre med noget selvdestruktion.

Er MFA en garanti mod Phishing ? NEJ NEJ NEJ.

Det kommer selvfølgeligt an på hvilken MFA løsning der vælges.

MFA er døende. Vi skal have certifikatbaseret logons.

De to ting udelukker ikke hinanden. En af faktorerne i MFA kunne være et certificat. Men at forestille sig at brugere skulle vedligeholde "pose" af certificater til de sites han tilgår ... det har jeg ikke fantasi til at forestille mig. Uanset det, så er ideen med two-factor auth at man skal have noget i hovedet og noget i hånden. Det er en sund sikkerhedsregel ved authentication.

Passwords forsvinder ikke. Hvorfor? Fordi folk forstår hvordan de virker og nemt kan bruge dem og derfor overgår de alle andre løsninger som VPN eller client certifikater. Derfor har de virket i 60+ år trods talrige forsøg på at finde et alternativ.

Passwords virker fint til ting der betyder meget lidt. Men sikkerhedsværdien ligger primært i at man kan lukke adgangen efter N fejlede forsøg. Og det store problem ligger i alle mulige former for phishing. En password-only løsning vil altid være sårbar.

og ja et væsentligt længere password på 14-16 karakter uden krav om store, små, tal og specialkarakter tager længere tid at bruteforce end 8 karaktere med store, små, tal og specialkaraktere.

Næste aspekt bliver så, er der sikkerhed for at brugere ikke bare vælgere "password12345678" i stedet for "P@ssw0rd", det er her hvor password audit kommer i spil. Altså en funktion der kan tage alle de kendte dårlige og allerede kompromitterede passwords der findes og undersøger om de anvendes i ens egen organisation.

Mennesker kan ikke huske sikre passwords. De passwords som mennesker kan huske kan computere knække hurtigt. Og i øvrigt gider ingen taste et 20 tegns password bestående af tilfældige tal og bogstaver ind for at tilgå deres telefon eller email.

I dag er meget af 2FA reelt kun to variationer over et password - et klassisk password og så en kode fra enten en kodegenerator eller en SMS man får tilsendt, altså endnu et password med kort levetid. Det er en del bedre end 'bare' et password, men der er plads til forbedring. Når en kodegenerator med den rette konfiguration kan generere den rigtige kode så kan dette replikeres med rette viden og man kan - bevæbnet med dit password - logge ind mens du går rundt og tror at du er sikker. Okay, kodegeneratorerne er ikke blivet knækket endnu men det er muligt.

Hvis kodegeneratoren ligger på en separat stykke hardware (fx. RSA securID eller NemID nøgleviser) så har den samme sikkerhed som din fysiske dims. Faktisk er sikkerheden på nogle punkter bedre, fordi protocollen mellem et RSA securID eller en NemID nøgleviser og din computer er 100% kendt. Det er den ikke hvis du bruger en USB port (eller for den sags skyld en RS232).

Der skal ikke meget password til, før det er sikkert.

De største sikkerhedsfaktorer jeg kan komme på er følgende:

a) Du læser dine emails, på en offentlig computer, og glemmer at logge ud, eller dit password gemmes. Herefter får en hacker adgang til din email, måske linkedin, og andre steder, du enten har glemt at logge ud, eller dit password er gemt.

b) Stort set alle steder, tilbyder de at du kan få dit password sendt med email, til din email adresse. For alle glemmer jo sit password, når man skal huske så mange, og skifte hver 2. uge.

c) Du har fået malware på pc'en som opsnapper dine passwords. Uanset, du udskifter dem, så bliver de sendt videre, indtil du får fjernet mailwaren. Måske tror du bare, den er fjernet, fordi at antivirusserne ikke opdager den. Der er et stort antal problemer, som antivirusser ikke kan fange.

d) Du bruger dit hemmelige password, hos andre end dem den skulle bruges til - for du er så vandt til at taste den...

e) Nogle får adgang til din PC, og finder ud af dine passwords. Måske fordi din browser gemmer dem.

Det er meget sjælden at passwords direkte gættes. Normalt, så er det tale om, at den enten hentes ud af ens egen PC, en PC man har brugt f.eks. på bibliotek, måske kan den opsnappes via wifi, hvis ikke at krypteringen er sikker nok, og mange har trådløs tastatur, så du kan side i en bil udenfor, og se det som tastes.

Og det kan også ske, at administratorer logger alle passwords, også de forkerte, så du oplyser dit password til banken, når du logger ind på en side. Vi kan så diskutere, om dette er lovligt.

Hvis kodegeneratoren ligger på en separat stykke hardware (fx. RSA securID eller NemID nøgleviser) så har den samme sikkerhed som din fysiske dims. Faktisk er sikkerheden på nogle punkter bedre, fordi protocollen mellem et RSA securID eller en NemID nøgleviser og din computer er 100% kendt. Det er den ikke hvis du bruger en USB port (eller for den sags skyld en RS232).

Når du anvender en kodegenerator som i dag i ekstern hardware, så er sikkerheden begrænset, da alle data er kendt for PC'en. De data, som sendes fra tastaturet er ukrypteret, og derfor har PC'en mulighed for at se - og ændre - i alt.

Den mest sikre metode, er at sikre de indtastede tal og ordre, kommer fra computerens tastatur. Det kan kun gøres, hvis der sættes en hardwareenhed imellem tastatur og pc. Eventuelt, kan mus også tilkobles hardwareenheden.

Hardwareenheden vil kunne generere nogle sikre nøgler, på baggrund af det som afsendes fra tastaturet, og derved er også garanti for, at beløb og tekst, kommer igennem hardware enheden.

Vi kan f.eks. forestille os, at tastatur og mus sættes på hardwareenheden. Når der køres i sikker tilstand, vil musens bevægelser omsættes til pil venstre, pil højre, pil ned og pil op, og kan sendes af sted sammen med tastaturindtastninger. Det betyder, at den tekst, eller data som sendes af sted, kun afhænger af det som sendes ud fra tastaturet, også selvom musen bruges, til at klikke tilbage i teksten med, da det bare kodes som nogle gange pil tilbage eller pil op. Teksten kan kodes, og det eneste computeren ved, er antallet af taster. Eller, den kan sendes ukodet til PC'en, men med en sikkerhedskode, der kan garantere at de pågældende informationer er genereret af hardwarenøglen, og er kommet fra tastaturet.

Kun ved at sende data igennem nøglen, er vi i stand til at give sikkerhed for, at de kommer fra tastaturet, og ikke er "opfundet" af computeren. Ellers, så har vi en nøgle uden data, og kan opfinde data selv. Det er sådan, at den nuværende nøgle-id løsning virker. Det er en god sikkerhed, men det er en nøgle uden data, og dermed ingen information som sendes sikkert. Sikker indformation, skal altid igennem nøglen - den må ikke sendes udenom nøglen.

Det er meget nemt at vurdere sikkerheden. Enhver metode, hvor tastaturets ledning ikke fysisk går igennem en hardwareenhed er dårlig. Går den igennem en hardwareenhed, så afhænger sikkerheden alene af hardwareenheden, og ikke af PC'en. Hvis data vises på PC'en, vil de naturligvis altid kunne aflyttes, men ikke forfalskes. F.eks. password vises med stjerner og vil ikke kunne kendes af PC'en. Et password må dog kun indtastes når en lysdiode lyser eller blinker på hardwareenheden, der indikerer der skal indtastes et password. Bedst er, at også kombinere det med en fingertryksaftaster, og altid kræve password efter fingeraftryk aftastes.

Fremtidens fingeraftryksaftastere anvender flere forskellige farver lys samtidigt, herunder lys i IR området, og er derved i stand til at give en større sikkerhed ved aftastningen. Bruges f.eks. en afskåret finger, vil det kunne ses i forhold til en normal finger, ud fra spektrat der detekters ved fingerscanningen. Blodet ændrer hurtigt farvespektrum, når det ikke får ilt, og det er muligt at detektere puls.

Vi skal have den godtroende bruger ud af ligningen

Det kommer ikke til af ske, og husk af hvis du gør det for besværligt, så vil den godtroende bruger, prøve af finde en genvej

Derfor skal logon løsningen var nem, simpel og enkel

b) Stort set alle steder, tilbyder de at du kan få dit password sendt med email, til din email adresse. For alle glemmer jo sit password, når man skal huske så mange, og skifte hver 2. uge.

Heldigvis er den slags websites efterhånden få. De fleste tilbyder at sende et link du kan bruge til at resette dit password. På den måde behøver de ikke gemme det password. Det du beskriver burde være straftbart.

Når du anvender en kodegenerator som i dag i ekstern hardware, så er sikkerheden begrænset, da alle data er kendt for PC'en. De data, som sendes fra tastaturet er ukrypteret, og derfor har PC'en mulighed for at se - og ændre - i alt.

Her bliver vi nok ikke enige. De tokens jeg snakkede om handler om authentication. Hvis man har token kan man authentikeres. Uden token, ingen authentikering.

Ved siden af det er der en diskussion af et sikre kommunikationen mod man in the middle attacks. Der er også en diskussion af hvordan man laver digitale signature. Det er bare noget andet end authentikering.

Her bliver vi nok ikke enige. De tokens jeg snakkede om handler om authentication. Hvis man har token kan man authentikeres. Uden token, ingen authentikering.

Ved siden af det er der en diskussion af et sikre kommunikationen mod man in the middle attacks. Der er også en diskussion af hvordan man laver digitale signature. Det er bare noget andet end authentikering.

Jeg benægter ikke, at du kan opnå authentication, og at den med hardware er udenfor PC'en. Men, når der ikke går data igennem enheden, så er der intet der er signeret. Så data er usikker. Det eneste som er sikker er et TRUE. Du kan have software, der ændrer i data, og bruger dit TRUE som du har accepteret. Går data derimod igennem sikkerhedsenheden, så har den mulighed for at signere data, således de ikke kan ændres. Og det er derfor ikke muligt at misbruge dit TRUE, da du både har et TRUE, samt du har sikre data tilknyttet, der går direkte fra tastaturet gennem enheden, der genererer sikkerhedskoden på grundlag af data fra tastaturet.

Jeg har ikke benægtet, at du har authentication med den nuværende metode. Men, du har kun et TRUE. Du har ingen authentication af data. For de går ikke igennem nøgleviseren. Så i princippet kan malware på PC'en manipulere og ændre i data. Eller software kan lave kopier af hjemmesiden, og logge et TRUE du af dig, og bruge den til hvadsomhelst. Det er ikke muligt, hvis der går de rette data igennem en fysisk enhed, da man så kan sikre sig, at f.eks. kontonumrene og beløbene er korrekte, da de kommer fra tastaturet, og gennem kodningen. Hvis hardwaren er sikker, så er såvel kontonumrene som beløbene dermed signeret af tastaturet og korrekte, og de er signeret samlet i en pakke.

Ifht. TFA, så kan man godt komme ind i en catch-22 hvis man f.eks. bruger til telefon som den 2. enhed. Sidste år var jeg ude at rejse og tilbage på hotelværelset kunne jeg ikke finde min telefon, så jeg blev naturligvis lidt nervøs og begyndte at tænke igennem hvor jeg kunne have efterladt den. Det er en Android telefon så jeg tænkte at jeg burde kunne se hvor den er vha. https://www.google.com/android/find. Jeg logger derfor ind fra min laptop men da jeg naturligvis sidder på en ny IP så kræver det TFA for at logge ind, og det var selvfølgeligt min telefon der var sat op til det.. Lidt senere fandt jeg dog telefonen helt uden hjælp fra Google. :-)

Næsten samme dag som denne artikel poppede op på Version 2, fik brugere af EPJ-systemet Cosmic i Region Syddanmark at vide, at der nu bliver indført krav om kvartalsvise fornyelser af passwords. Af sikkerhedsmæssige årsager. Pudsigt, ikke?