Forskere: Målere af kodeords styrke får brugere til at vælge bedre kodeord

Illustration: leowolfert/Bigstock
Brugerne er mere tilbøjelige til at vælge et unikt og sikkert kodeord, når de får hjælp af en indikator, der viser kodeordets styrke.

Dit kodeord er ikke langt nok. Dit kodeord indeholder et almindeligt ord. Dit kodeord er supersikkert. Den slags indikatorer kan hjælpe brugerne med at danne bedre og mere sikre adgangskoder, konkluderer en forskergruppe af fra University of California i Berkeley og University of British Columbia i Vancouver. Det skriver Ars Technica.

Flere især webbaserede tjenester benytter i dag en form for måling og visuel indikator, som angiver den vurderede styrke af en adgangskode, når en bruger skal oprette en ny konto eller skifte adgangskode. Og det virker ifølge forskerne.

Det er dog med de forbehold, at det ikke havde nogen større effekt, når brugerne skulle oprette en helt ny konto, eller det drejede sig om en konto, de ikke anså for at være særlig vigtig.

Den største virkning var altså, når brugerne skulle skifte kodeord på en konto, de anså for at være vigtig. Det er imidlertid ifølge forskerne paradoksalt nok de tilfælde, hvor man sjældent finder indikatorer for kodeordenes styrke. Det gælder eksempelvis kontoer til styresystemer som Windows og Mac OS X.

Ifølge forskernes forsøg var brugerne markant mere tilbøjelige til at vælge et kodeord, som blev vurderet til at være sikkert, når de fik vist én eller anden form for indikator.

Den mest effektive type var ifølge forsøget, den type indikator, som angav brugerens adgangskodes forholdsmæssige styrke i forhold til de øvrige brugere af systemet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm Blogger

Langt de fleste af de målere der viser styrken af passwords måler efter min mening det forkerte. De er ofte optimeret til en metrik der giver kodeord der er svære at huske for mennesker, men forholdsvis lette at brute-force for maskiner.

For eksempel vil 'Tr0ub4dor&3' ofte skore højt på sikkerhedsskalaen, mens 'correct horse battery staple' vil vises som et svagt kodeord. Sidstnævnte vil de fleste nok kunne huske, om ikke andet med ret få forsøg, men bare med en middelstor ordbog er det stadigvæk ret svært at bruteforce.

  • 6
  • 0
Troels Henriksen

Jeg er ikke sikker på jeg forstår dit argument for "nemt at bruteforce". 'Tr0ub4dor&3' ligner et løsen på elleve tegn med et alfabet på størrelse 90 (lidt under antallet af synlige ASCII-tegn). Det giver 3138105960900000000000 forskellige muligheder, og det er hvis du [i]altid[/i] har elleve tegn.

Dit andet eksempel er fire ord skrevet med små bogstaver. For at opnå samme antal muligheder som ovenfor, så skal du have 236683 forskellige ord at vælge imellem. Jeg ved ikke hvor stor den danske (eller engelske) ordbog er, men jeg tror de færreste kan så mange ord.

Personligt er jeg tilhænger af løsener der udgør remser, evt. med kreativ tegnsætning. Det kræver naturligvis at løsen-systemet tillader relativt lange løsener, men det er der heller ingen teknisk grund til at det ikke skulle.

  • 0
  • 1
Peter Makholm Blogger

Jeg er ikke sikker på jeg forstår dit argument for "nemt at bruteforce". 'Tr0ub4dor&3' ligner et løsen på elleve tegn med et alfabet på størrelse 90 (lidt under antallet af synlige ASCII-tegn).

Jeg tror at det er de færreste der kan huske mange der kan huske flere tilfælde af 71 bits fuldstændig gibberish. Jeg kan huske nogle få kodeord der reelt set indeholder 48-60 bits gibberish.

Så en meget anvendt formular er noget ala: Tag et grundord som 'troubadour'. Tilføj lidt store bogstaver, lidt leet-speak, en stavefejl og endelig et symbol og et tal i en eller anden rækkefølge. Randall Munroe vurdere dette til cirka ~28 bits entropi hvilket kan bruteforces på 3 dage med 1000 gæt i sekundet.

"correct battery horse staple" vurdere han til at have 44 bits entropi. hvilket tager 550 år under samme betingelser. Se http://xkcd.com/936/ (Som Emil Refn også henviste til)

  • 0
  • 0
Martin Storgaard Dieu

Dit andet eksempel er fire ord skrevet med små bogstaver. For at opnå samme antal muligheder som ovenfor, så skal du have 236683 forskellige ord at vælge imellem. Jeg ved ikke hvor stor den danske (eller engelske) ordbog er, men jeg tror de færreste kan så mange ord.

Det kommer jo helt an på hvilken måde man angriber på. Det er vel klart at nogle vil prøve et "ordbogsangreb", men hvis begge er afgrænset af 90 forskellige tegn per plads giver det vel 5233476330273605372135115210000000000000000000000000000 forskellige kombinationer på en streng med længden 28. Så pointen er vel at jo længere adgangskode jo bedre, samt jo flere tegn der kan bruges, jo bedre. Hver ASCII-karakter giver jo 8 bits mere, der skal afprøves (hvor det selvfølgelig ikke er alle bits der er mulige kombinationer).

  • 0
  • 0
Carsten Hansen
  • 0
  • 0
s_ mejlhede

Dit andet eksempel er fire ord skrevet med små bogstaver. For at opnå samme antal muligheder som ovenfor, så skal du have 236683 forskellige ord at vælge imellem. Jeg ved ikke hvor stor den danske (eller engelske) ordbog er, men jeg tror de færreste kan så mange ord.

Det er jo her at man skal skrive nogen af ordrene med stort i start eller slut, erstatte O med Nul, I med 1, evt. at skrive nogen af orde bagfra, erstat mellemrum med &, alt dette øger igen antal af muligheder. Og hvis man så må bruge et meget langt password, samt bruger disse regler, så er det lagt bedre ind et password som er kort, og man ikke kan huske, og der for må skrive ned. som Adgangskode:JEG@kan@ALDR!G@huske@MIN@kode@SOM@er@1234@PAA@V2@hjemmeside

  • 1
  • 0
Troels Henriksen

Jeg synes Randalls beregning er noget af en stråmand. Den er baseret på et system som jeg aldrig har set anbefalet noget sted - jeg har altid fået at vide at man bare skal lave mere eller mindre tilfældige transformationer ud fra et eller andet ord. Det er selvfølgelig rigtigt, at hvis man følger et så fjollet system som han anbefaler, så inddæmmes søgerummet voldsomt.

  • 0
  • 0
Jørgen L. Sørensen

Dit andet eksempel er fire ord skrevet med små bogstaver. For at opnå samme antal muligheder som ovenfor, så skal du have 236683 forskellige ord at vælge imellem. Jeg ved ikke hvor stor den danske (eller engelske) ordbog er, men jeg tror de færreste kan så mange ord.

For at kridte banen op: Jeg har ikke en dyt forstand på de matematiske sandsynligheder eller hvorledes man beregner kodeords styrke - men:

Selv om der ikke er så mange ord i sproget/ordbogen må det vel øge styrken på kodeordet, at der bruges et for hackeren ukendt antal ord i en vilkårlig (meningsløs) rækkefølge, som f.eks. "TroldHertzBornholm" (denne er dog ikke helt meningsløs :-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere