'Twilight er verdens bedste film' er lige så elendigt kodeord som 'password1'

Illustration: leowolfert/Bigstock
Sammensætninger af ord er én god måde at lave sikre kodeord på, som man kan huske, men der vil stadig være brugere, som skyder genvej, viser erfaring fra Amazon.

Der vil altid være brugere, som vælger usikre adgangskoder. Også selvom man giver dem mulighed for at lave en adgangskode, som i teorien burde være både sikker og let at huske. Såkaldte passphrases er begyndt at vinde mere indpas, men også her vælger brugerne usikre kodeord.

Det viser en undersøgelse fra University of Cambridge, hvor forskerne har set på sikkerheden i en samling af passphrases fra Amazons nu lukkede PayPhrase-system.

Læs også: Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

En passphrase er en sammensætning af to eller flere ord, som tilsammen udgør en adgangskode. Det kan eksempelvis være 'blyantlysskystaudebed'. Fordelen er, at det er nemmere at huske sådan en adgangskode end eksempelvis 'YbpDoaC4k,G!h1Ef', som ganske vist er et meget sikkert kodeord, men temmelig svært at huske for de fleste mennesker.

Passphrases udnytter, at man kan sammensætte tilfældige ord ud fra et ordforråd på tusindvis af ord og med blot nogle få ord opnå samme sikkerhed som et kodeord med store og små bogstaver, tal og specialtegn.

I praksis viste det sig dog ifølge undersøgelsen af passphrases fra Amazon, at når brugerne skulle sammensætte to i princippet vilkårlige ord, så var det ikke alle, der nåede frem til noget, der ville være svært at gætte.

Forskerne fandt frem til, at mange havde brugt meget indlysende sammensætninger som 'Harry Potter' eller 'Manchester United'. Ved at bruge en ordbog med filmtitler, sportsklubber og lignende fra blandt andet Wikipedia, fandt forskerne frem til 8.000 af Amazon-kodeordene ud fra en ordbog på 20.000 ord.

Det gav en såkaldt entropi på 20 bit for én procent af kodeordene, hvilket dog er bedre end mange af de mest populære kodeord, som har vist sig at dukke op, når lister med kodeord fra den virkelige verden er blevet lækket.

Læs også: Her er 250 kodeord du skal holde dig fra

»Man skal sammenligne med de passwords, som folk ellers finder på, som typisk kun opfylder minimumskravene,« siger lektor Torben Mogensen fra Datalogisk Institut ved Københavns Universitet til Version2.

Læs også: 190.000 kodeord fra hacket blog-server knækket på under én time

Undersøgelsen fra University of Cambridge viste, at der var en klar tendens til, at brugerne valgte forholdsvis almindelige ordsammensætninger og som regel navneord eller kombinationer, der kunne optræde i almindelig sprogbrug.

Tegneserien xkcd har været med at sætte fokus på den teoretisk højere sikkerhed i passphrases, som er lette at huske, men tegneseriens udregning forudsætter, at man vælger ordene tilfældigt. Og i praksis er det altså ikke tilfældet.

Hvis man vælger tre eller flere ord nogenlunde tilfældigt ud fra en tilstrækkelig stor ordbog på 10.000 ord eller flere, eventuelt fra flere sprog, kan man dog opnå en sikkerhed, der er lige så god som et godt traditionelt kodeord.

Hvis man derimod vælger en sætning, der kunne blive sagt af mennesker som eksempelvis 'Twilight er verdens bedste film', så skal man ikke regne sig sikker. Selv sådan en kombination på op til fem ord giver ifølge forskerne kun en entropi, et mål for kodeordets styrke, som er mindre end et kodeord bestående af 7 tilfældige bogstaver.

Formålet med forskernes undersøgelse har været netop at se på, hvor stærke passphrases er i praksis, når absolut tilfældighed erstattes af, at mennesker skal udvælge de ord, der udgør passphrasen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Det er ikke nødvendigt at vælge tilfældige ord, blot de ord, man vælger, ikke forekommer naturligt i rækkefølge. Derfor er "Twilight er en elendig film" et dårligt løsen, mens f.eks. "hest lysebrun sutsko" næppe ville blive gættet af et angreb, der bruger f.eks. Googles liste af hyppigt forekommende femordskombinationer. Endnu bedre kan man gøre det ved at gøre sit løsen multisprogligt, som f.eks. "Pferd lysebrun chaussons", da ordene næppe forekommer i samme ordbog.

Man kan bruge Google til hjælp: Skriv alle ordene i løsenet i søgefeltet med anførselstegn om hver enkelt (så Google ikke matcher ord nær ved). Hvis der er mere end nogle få hits, er dit løsen næppe godt nok. Kombinationen "Pferd" "lysebrun" "chaussons" gav et enkelt hit (sikkert flere om et par dage, når dette indlæg bliver indekseret), "hest" "lysebrun" "sutsko" gav 428 hits og "Twilight" "er" "en" "elendig" "film" gav knap 74 000 hits.

  • 2
  • 0
Claus Nielsen

Og en soegning paa saetningen "twilight er verdens bedste film" gav ca. 317 hits, hvoraf en del er mere eller mindre direkte referencer til denne artikel.
Det vigtigste princip man kan have er i sidste instans at vurdere, "hvor sikkert behoever det at vaere?"
Rigtig mange debatsider (denne medregnet) kraever et password for at kommentere. Naar man skal vaelge sit password i saadan en situation, maa man spoerge sig selv, hvor stor skadevirkning kan der vaere, hvis nogen bryder dette password?
Svaret er i de fleste tilfaelde - stort set ingen skadevirkning.
Dermed er den eneste fornuftige loesning at vaelge et simpelt nemt huskbart password, som saa bruges paa alle sider med denne risikoprofil (dvs. paa alle debatsider der tillader passwords af denne sammensaetning).
Saa en reference til Twilight er ganske fornuftig i denne sammenhaeng.

  • 0
  • 0
Henrik Nielsen

Jeg er enig med Torben. Derudover er eksemplet rigtig dårligt - "Twilight er en elendig film" - er sandsynligvis et rigtig udmærket kodeord som er svært at gætte - ganske enkelt fordi det er dansk, har mange karakterer herunder mellemrum og fordi de fleste it-trusler har et engelsksprogligt udgangspunkt. En anden god ide er at bruge f.eks. danske navne fra eventyr f.eks. "snehvide gik en tur i 1970"
Password politik der vanskelig: for det første skal vi huske ikke at skræmme r.. ud af brugerne og gøre dem unødigt usikre.
De fleste danske kompromiteringer kommer ikke fra brute force attacks, men fra malware eller indsider kendskab.
For det andet skal passwords være til at huske og håndtere for brugerne, fordi de ellers vil skrive dem ned og lægge dem under skriveunderlaget, skærmen eller i skrivebordsskuffen.
Med en rimelig paswwordpolitik og en god lockoutpolicy hvor man lukker for brugeradgang efter f.eks 3 forsøg er man som virksomhed godt sikret.

En vigtig ting for den enkelte, er at bruge to typer passwords: en type for sider som denne, hvor det ikke er katastrofalt om koden brydes og en helt andet type til netbank, nemid og koder på arbejdet.

Henrik Nielsen
imco systems

  • 1
  • 0
Bjarne Zeb Jørgensen

Du rammer hovedet på sømmet - det ER muligt at opnå større sikkerhed ved at vælge tilfældige ord. Undersøgelsen viser blot at det gør folk ikke (dovenskab eller uvidenhed?) og derved ryger præmissen for at det skulle være mere sikkert med et passphrase.
Og du angiver selv kreative måder man kan gøre det sikkert på - igen, det gider de fleste folk ikke og så ryger sikkerhedsniveauet ned igen.

Der kan bygges aldrig så sikre systemer, men mennesker gør altid det der er nemmest, så hvis det sikre system ikke er nemt at bruge så dur det som hovedregel ikke i praksis.

  • 0
  • 0
Christian Nobel

En vigtig ting for den enkelte er at bruge to typer passwords: 1 for sider som denne, hvor det ikke er katastrofalt om koden brydes og en helt andet type til netbank, nemid og koder på arbejdet.

Og lige det er et af katastrofemomenterne ved "NemID", nemlig at Nets vil prøve at prakke Gud og hver mand det på, så det også skal bruges til datingsites, e-handel, teleselskaber, og hvad ved jeg.

Og på den måde udhules hele bevidstheden omkring datasikkerhed fatalt, da der ikke er adskillelse mellem det der er små ligegyldigt, det der er vigtig, og det der er fatalt - som at have samme kodeord til toiletlåsen som til knappen der sender atombomben af sted.

  • 3
  • 0
Henrik Nielsen

Det havde jeg ikke tænkt på. Vi må slå et slag for retten til at have "ligegyldige" passwords så vi kan adskille skæg for sig og sn.. for sig.

I øvrigt kunne jeg godt tænke mig at vide hvor mange gange man kan taste forkert password på dette site før kontoen spærres. Måske vil jeg prøve senere :-)
Henrik
Imco Systems

  • 0
  • 0
Allan S. Hansen

Enig.

Som jeg ser det er det 'mindre' vigtigt hvor stærkt password du bruger, hvad er vigtigt er sikkerheden og passwords kontrol mekanikkerne hos den services hvor du bruger passwords.

Eksempelvis hvor mange gange man kan taste et password forkert før der lukkes ned, hvor hurtigt man må forespørger m.fl.

De andre angreb handler mest om hvis man sidder med den hashede udgave af et password og så teoretisk bryde det. Og i de situationer - så er problemerne betydelig større fordi hvor mange andre oplysninger er så kompromitteret i løsningen; dine betalings oplysninger måske?

Passwords er gode for maskiner, men dårlige for mennesker.

  • 0
  • 0
Anders Hessellund Jensen

Hvis man gerne vil lave gode passwords som man kan huske, så er det måske en idé at kombinere en sætning man kan huske, eksempelvis "twilight er verdens bedste film" med en algoritme, som man kan huske. Eksempelvis: "3 bogstaver fra første ord, det næste ord med stort, og så et bogstav fra hvert af de sidste ord". Det bliver til

"twiERvbf"

Som umiddelbart er et fornuftigt kodeord, omend i den korte ende.

  • 0
  • 0
Thomas Christensen

Jeg forstår ikke, at password vaults (eller hvad nu den generiske betegnelse er) ikke bliver anbefalet mere generelt. Det er lidt bøvlet i starten, hvor man erstatter alle ens "1qazxsw2" eller "kisser" passwords med tilfældigt genererede strenge, men når først man har det oppe at køre er det super enkelt.

Jeg bruger selv KeePass, som via en mængde plugins og ikke mindst en Android port er et meget stærkt værktøj.

  • 0
  • 0
Torben Mogensen Blogger

Og du angiver selv kreative måder man kan gøre det sikkert på - igen, det gider de fleste folk ikke og så ryger sikkerhedsniveauet ned igen.

Det, jeg ville gøre, var at lade serveren afprøve kodeord eller fraser med Google (via en krypteret forbindelse). Hvis der kommer mere end et par hundrede hits, beder man brugeren om at prøve igen. Det er mere sikkert end regler for, at der skal være mindst 8 tegn, at både store og små bogstaver, cifre og specialtegn skal indgå osv. (for de giver blot anledning til standardiserede transformationer såsom P@55w0rd), og det giver mere fleksibilitet for brugeren til at finde noget, som han/hun kan huske.

P.S. "P@55w0rd" giver 8630 hits.

  • 0
  • 0
Michael Peters

Når man som vi, har en lang række domæner med tilknyttede hjemmeside, og webshop, skal password ofte skiftes. Jeg indførte en ny måde at generer dette på, for som nævnt andet sted her i foret, kan de stærke passwords være svære at huske.

Hvergang der skiftes, tager jeg først 4 kollegaers 2 forbogstaver og herefter tallet på deres borde i rækken de sidder i. På den måde er det til at huske og samtidig dannes helt nye passwords.

Når vi er nået rader rundt begyndes bagfra. På den måde har vi passwords til et år ad gangen hvorefter jeg begynder forfra. Skulle der gå kludder i de, kan jeg ud fra hvilken måned vi er i, regne det korrekte password ud.

Ret simpelt men ganske effektivt.

  • 1
  • 0
Per Gøtterup

Kom bare lige til at tænke på...

Der var en gang hvor en søgning på Google efter "french military victories" gav resultatet "No hits. Perhaps you meant: french military defeats?"

Semantisk har sammensætningen af ord jo også en betydning... "Twilight sucks" giver garanteret flere hits end "Twilight rulez", og det er nok relateret til hvem som leverer indholdet på nettet (på debatsider og så videre).

  • 0
  • 0
Torben Mogensen Blogger

Problemet med leet er, at der er tale om standardsubstitutioner, så det er ret nemt for et program at bruge en ordbog og en leetoversætter til at gætte kodeordene. Bare fordi det er svært at læse for uindviede mennesker, er det samme ikke nødvendigvis tilfældet for computere. Hvis du vil "beskytte" dit løsen med en substitutionskode, så undgå velkendte koder: næste bogstav i alfabetet, foregående ditto, rot13, leet, osv.

  • 0
  • 0
Jesper Stein Sandal

Som Torben skriver, så er 1337 ikke nogen god måde at øge entropien på. Det er meget bedre at vælge noget unikt, som enten et ord eller et tal, man kan huske, og indsætte det i stedet for et andet tegn.

Så 'password2' for eksempel kunne blive til 'pahonningkrukkehonningkrukkeword2'.

(Og ja, det er korrekt, at "'the movie that must not be named' er verdens bedste film" er et bedre kodeord end password1. Oprindeligt stod der 'Harry Potter' i overskriften, men redaktøren mente, at filmeksemplet var så godt, at det fortjente en mere fremtrædende plads. Også selvom sammenligningen ikke er matematisk korrekt, men begge blot er eksempler på dårligere passwords end gode passwords :) )

  • 0
  • 0
Log ind eller Opret konto for at kommentere