Frynse-gadgets låser din firmamail, når du skifter password

22. august 2013 kl. 06:2917
Frynse-gadgets låser din firmamail, når du skifter password
Illustration: Jesper Stein Sandal.
En medarbejder med firmamailen sat op på tre forskellige enheder risikerer at blive låst ude, når det er tid til det tvungne skift af kodeordet. Ifølge Microsoft er det dårlig praksis i telefonerne, men kan imødegås.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det er mandag morgen efter ferien, og der er gået mere end 60 dage, siden du sidst skiftede din adgangskode til firmanetværket. Før du kan logge på, bliver du derfor bedt om at finde på en ny adgangskode.

Ovenstående har været velkendt for it-brugere i snart flere årtier, men i smartphonens tidsalder er der kommet et nyt problem i forbindelse med dét, der tidligere blot var et irritationsmoment til dagens første kop kaffe.

Som bruger kan man nemlig opleve at blive låst ude af hele netværket, selvom man har skiftet sin adgangskode.

Årsagen skal typisk findes i mobile enheder, som forsøger at logge på med det gamle kodeord. Det bliver i det centrale loginsystem registreret som fejlslagne logins, og hvis systemet er sat op til at reagere på for mange fejlslagne forsøg, så kan kontoen blive låst, og skal låses op af it-afdelingen.

Artiklen fortsætter efter annoncen

Hvis man slås med den opsætning på sin arbejdsplads kan det derfor betyde, at man på den store password-skiftedag skal være i besiddelse af både mobiltelefon og tablet, så man kan skifte kodeordene i mailopsætningen med det samme.

Microsofts produktchef for administrationsværktøjet System Center, Ken Hyld, skriver i et svar til Version2, at det er en fejl på enhederne, hvis de bliver ved med at forsøge, når serveren svarer, at login ikke lykkedes.

»Det er dårligt design, hvis en enhed automatisk fortsætter med at forsøge et kodeord, som én gang blevet afvist. Ethvert godt designet authentication-system vil behandle gentagne fejlslagne forsøg som fjendtlige og dermed behandle brugerkontoen som kompromitteret,« skriver Ken Hyld til Version2.

Ifølge Microsoft ligger ansvaret altså hos producenterne af den software, som forsøger at logge på, og det er ikke en god idé som it-ansvarlig at slå den automatiske låsning af brugerkonto ved for mange fejllogins fra.

Lås højst brugeren ude i et kvarter

Microsoft vil ikke give specifikke anbefalinger til én bestemt konfiguration af Active Directory, som er det system, Windows benytter til autentificering og styring af brugerkontoer. I stedet bør man søge rådgivning om den optimale opsætning for netop éns egen organisation.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Generelt er der dog visse overordnede råd til, hvordan en god password-politik bør se ud ifølge Microsoft.

»Når vi taler med de største organisationer i Danmark om password-politikker, så anbefaler vi, at de bør bruge komplekse og lange kodeord, og at de forhindrer brugerne i at genbruge tidligere anvendte kodeord, samt automatisk låser en brugerkonto op igen efter kort tid, så brugeren ikke behøver kontakte servicedesken,« skriver Ken Hyld til Version2.

En opsætning, som Microsoft benytter i selskabets Security Compliance Manager, lyder på, at en bruger maksimalt er låst ude i 15 minutter. Derefter kan brugeren forsøge igen. Fem fejlslagne forsøg skal føre til, at kontoen bliver låst, men tælleren kan nulstilles efter 15 minutter.

Samtidig bør man sikre en kodeordslængde på mindst 14 tegn, som opfylder visse krav til kompleksitet, som typisk indebærer store og små bogstaver, tal og specialtegn.

Ud over mobile enheder, så kan gamle Citrix-sessioner eller fjernadgang, som ikke er blevet afsluttet korrekt, også føre til, at der kommer for mange fejlslagne logins. Men det kan også være applikationer, der benytter Microsofts Active Directory som single-signon til systemerne, hvor det nye kodeord ikke bliver opdateret hurtigt nok.

Brug logfiler til at opdage hackerforsøg

Formålet med at låse en brugerkonto som følge af fejlslagne logins er at sikre mod brute force-angreb. Det vil sige angreb, hvor en angriber forsøger sig med forskellige mulige adgangskoder i håb om at ramme det kodeord, brugeren anvender.

Normalt anbefaler man fem fejlslagne forsøg, før en konto bliver låst, men hvis kodeordene i øvrigt er gode, og man oplever problemer, så kan man sætte grænsen højere, hvilket Microsoft også selv råder til. Hvis et brute force-angreb er begrænset til at lave 100 forsøg, hvorefter der skal ventes i 15 minutter, før man kan prøve 100 gange igen, så burde det med gode kodeord ikke have nogen praktisk betydning for sikkerheden.

Her er det imidlertid vigtigt, at man sørger for at logge fejlslagne logins, så man kan opdage, hvis der sker usædvanligt mange fejlslagne login-forsøg.

Artiklen fortsætter efter annoncen

Hvis man har vanskeligt ved at identificere, hvilke enheder, tjenester eller applikationer, som er skyld i utilsigtet låsning af en brugerkonto, så kan man også justere den tid, der må gå mellem to fejlslagne login-forsøg, før tælleren bliver nulstillet. Minimumsgrænsen er dog ét minut.

Som it-ansvarlig kan der være gode argumenter for at implementere en password-politik, som inkluderer en automatisk lås efter et antal fejlslagne forsøg, men der er også gode argumenter imod.

Brugerne skal bruge tid på at skifte kodeordet og på at finde på et nyt kodeord, som de skal kunne huske uden at bryde andre regler som eksempelvis at skrive det på gule sedler, klistret til skærmen.

Mange brugere har en formel for adgangskoder, som kan justeres, når systemet kræver et nyt kodeord, og det giver kodeord, som kan være lette at gætte, hvis en hacker opsnapper ét af de tidligere kodeord, såsom 'NisselandAug13', som skiftes til 'NisselandSep13' i næste måned.

Regelmæssige skift af kodeord er en tabertaktik

Hvis en hacker har fået fat i en kopi af kodeordsdatabasen og har kunnet lave et offline brute force-angreb og har knækket en brugers kode, som følger sådan en formel, hvor de næste koder er lette at forudse, så hjælper det ikke, at man har tvunget brugerne til en dårlig password-skik ved at kræve hyppige skift.

Det er heller ikke sikkert, at det er specielt sikkert at kræve jævnlige skift af kodeordene. Det logiske argument er, at man kan forhindre brute force-angreb med automatisk lås og automatisk oplåsning, som gør sådan et angreb upraktisk på grund af tidsfaktoren.

Kravet om at skifte jævnligt er en tilføjelse, som skal forhindre, at en angriber kan misbruge et kodeord, som på én eller anden måde er blevet opsnappet. Imidlertid dur den strategi kun, hvis angrebet finder sted, efter brugeren har skiftet kodeordet.

Et spilteoretisk forsøg, som Microsoft har udført, viser, at kodeordsskift med faste intervaller er en dårlig strategi. Hvis det skal have en virkning, så skal kodeordene skiftes med varierende intervaller, som en angriber ikke kan forudse.

Emner
17 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
15
Maciej Szeliga
23. august 2013 kl. 10:14

...skal alt bindes op på AD. Vi andre har ikke bundet email sammen med AD så vi bliver ikke låst ude når vores 3 ~ 4 gadgets sync'er mail. Se sådan kan det også løses.

  • more_vert
    • insert_linkKopier link
14
Brian Hansen
23. august 2013 kl. 01:06

Der er forhåbentligt ikke noget system der tillader 1000 forsøg i sekundet uden kontoen bliver spærret

  • more_vert
    • insert_linkKopier link
7
Brian Hansen
22. august 2013 kl. 11:18

Ork der er mange muligheder. Enten via erstatning af bogstaver med tal i bedste l337 sp34K stil eller "vrøvle" koder baseret på keyboard combo'er ala. låseskærmene med mønstre, som de fleste nok kender fra smartphones. Hjernen er meget bedre til at huske mønstre end koder :)

  • more_vert
    • insert_linkKopier link
12
Nikolaj Brinch Jørgensen
22. august 2013 kl. 13:14

Ork der er mange muligheder. Enten via erstatning af bogstaver med tal i bedste l337 sp34K stil eller "vrøvle" koder baseret på keyboard combo'er ala. låseskærmene med mønstre, som de fleste nok kender fra smartphones.
Hjernen er meget bedre til at huske mønstre end koder :)

Det er ikke anderledes end almindelige ord. Det her ved de kriminelle også. Eftersom sikkerheds-ypperstepræsterne siger man skal gøre som du siger, er sandsynligheden for at et password er på den formel du beskrive større end den er for at kodeordet bare er Kat eller Mis. Eller den er i hvert fald lige så stor. Den største kompromitering sker stadigt internt, og hvor kodeordspolitiker ikke hjælper en dyt (USB nøgle mm.)

  • more_vert
    • insert_linkKopier link
10
Jesper Stein Sandal
22. august 2013 kl. 11:29

Mønstre skal man også passe på med:

https://www.version2.dk/artikel/ny-analyse-her-er-verdens-mest-sjaeldne-pinkode-47784

Det mest effektive er vist at kombinere tre eller flere tilfældige ord, sådan i forhold til, hvad man kan huske, og hvor svært det i teorien vil være at knække.

Men jeg mistænker, at folks ordforråd af tilfældige ord ikke er helt så stort som en komplet ordbog, så man vil formentligt som hacker kunne prøve sig frem med kombinationer af nogle få hundrede ord (ligesom man i første omgang prøver almindelige dårlige kodeord, såsom password1).

Det er lidt ligesom den 'hjerneøvelse' der cirkulerede for nogle år siden, hvor man skulle tænke på en farve og et værktøj, hvor de fleste valgte 'rød' og 'hammer'.

Jeg har dog ikke kunnet finde nogen analyser af 'real life' brug af denne type kodeord.

  • more_vert
    • insert_linkKopier link
9
Indsendt af Peter Binderup (ikke efterprøvet) den tor, 08/22/2013 - 11:26
  • more_vert
    • insert_linkKopier link
11
Brian Hansen
22. august 2013 kl. 12:33

Så må mine brugere jo være mere begavede end snit :P

  • more_vert
    • insert_linkKopier link
6
Niels Rahbek
22. august 2013 kl. 11:08

Så 14 tilfældigt genererede store og små bogstaver, tal og specialtegn, hver anden måned? Hvor dum skal man være for at tro det på nogen tænkelig måde kan lade sig gøre i praksis?!

Med andre ord skal man i løbet af året lære og huske:

l"7p?t:!9jIO%L 6s6}q5AZ-E&NRA WODT]6;Qt[=J,> syt@Cd1k"6L}CU (w&?nL4MZAmgM1 :K<1wXvRGIfEjx

  • more_vert
    • insert_linkKopier link
1
Indsendt af Peter Binderup (ikke efterprøvet) den tor, 08/22/2013 - 09:20

Samtlige steder jeg har arbejdet hvor man har haft den tåbelige idé at passwordskift hver 60 eller 90 dage er en god ting, har jeg endnu til gode at møde en medarbejder som ikke har brugt det samme password de tog i brug fra start af, blot med en tal kombination foran, midt i, eller til sidst i det selv samme password.

Og nej et password bliver ikke sikre af at man skifter det ofte eller laver komplekse regler for kombinationer - det resulterer blot i gule lapper i skrivebordsskuffer, på skærmen eller under tastaturet. Og skulle man forsøge bruteforce så er det nok et sted ligegyldigt om vi snakker 60 eller 90 dage med relativt simple (ikke komplekse) passwords hvis man smider tilstrækkelig cloud computing bag.

Så kære IT chefer og IT revisorer, drop nu det afkrydsningsfelt i de kære IT revisions rapporter omkring skift af passwords, for det er flintrende ligegyldigt alligevel.

Der skal tænkes helt andre løsninger, hvor et password kun er en delkomponent.

  • more_vert
    • insert_linkKopier link
3
Brian Hansen
22. august 2013 kl. 09:34

Nu vil de færreste reelle forsøg på at komme ind næppe være brute force (de blir stoppet længe inden kompleksiteten af passwords blir relevant), men derimod forsøg på at logge på via gætværk gennem social engineering. Jeg har flere gange kunne gætte medarbejdernes passwords på 2-3 forsøg bare ved at vide grundlæggende informationer om dem. Ting man sikkert kunne finde på Facebook eller lignende. Så jo, jeg vil mene man skal stille krav til tilpas ækle passwords, helst nogen der ikke uden videre kan kædes til dig personligt, eller ord der kan slås op i en ordbog.

  • more_vert
    • insert_linkKopier link
4
Indsendt af Peter Binderup (ikke efterprøvet) den tor, 08/22/2013 - 09:53

@Brian, jeg er helt enig i at man ikke skal bruge lette passwords (ordbog eller kæledyrsnavne osv), men jeg tvivler på at et krav om komplekse passwords sammenholdt med regelmæssige skift af disse passwords øger nogen form for sikkerhed.

Er de valgte passwords for komplekse, så ender vi i 99,9% af tilfældene i situationer hvor passwords står på gule sedler rundt omkring. Og så kan det være ret ligegyldigt med strikse password politiker hvis et simpelt fysisk indbrud i en virksomhed i realiteten kan bypasse et mio. kr. dyrt IT setup. Ved disse typer indbrud er det mit gæt at medarbejderen holder sin kæft med om at de har haft et password liggende i "clear text", og så er sikkerheden brudt (men måske ikke misbrugt hvis der blot var tale om et tyv der vil have laptops).

I flere virksomheder har man så også flere forskellige IT systemer, som typisk ikke snakker sammen med login, så der har vi så problematikken med forskellige passwords til forskellige systemer, med forskellige password regler - igen er vi tilbage til gule sedler problematikken (eller passwords skrevet ind på smartphones/dumbphones).

Så jeg tror simpelthen ikke på at regelmæssige skift af passwords øger sikkerheden, specielt ikke hvis det kommer i vejen for folks dagligdag. Dermed ikke sagt at man bare skal ignorere login processen, men som det er i dag så bliver sikkerheden ikke øget ved passwordskift.

  • more_vert
    • insert_linkKopier link
5
Brian Hansen
22. august 2013 kl. 11:08

Her i virksomheden er let lempelig omgang med adgangskoder, som f.eks. at skrive dem ned på papir osv. en oplagt fyrings grund, hvordan det hænger sammen andre steder skal jeg ikke kunne udtale mig om. Men det var da det samme på den virksomhed jeg arbejdede hos tidligere. Du kan i øvrigt sagtens lave komplicerede passwords der er nemme at huske :)

  • more_vert
    • insert_linkKopier link
8
Indsendt af Peter Binderup (ikke efterprøvet) den tor, 08/22/2013 - 11:20

Her i virksomheden er let lempelig omgang med adgangskoder, som f.eks. at skrive dem ned på papir osv. en oplagt fyrings grund,

En ting er hvad man skriver ned i IT sikkerhedsregler i en virksomhed, noget andet er hvad folk gør i realiteten.

Hvis man via IT sikkerhedspolitikken indirekte tvinger folk til at gå på kompromis med sikkerheden, så har man ikke vundet noget ved at gøre livet besværligt for de ansatte. Og hvordan vil en virksomhed sikre sig at folk ikke har det skrevet ned på en seddel der ligger i en tegnebog - jeg tvivler på at virksomheden har lov/ret til at gennemsøge en tegnebog.

  • more_vert
    • insert_linkKopier link