Hvordan undslipper vi password-tyranniet?

Sommerkonkurrence: Få kan overskue at huske 40 forskellige adgangskoder, der overholder eksperternes råd om sikkerhed. Kom med dine foreslag til, hvordan en hel verden kan undgå dårlig samvittighed og vind præmier i Version2's sommerkonkurrence.

Skriv dit bedste bud på, hvordan vi undslipper password-tyranniet i debatten nedenunder. På baggrund af hvor innovative, kreative og fremsynede jeres indlæg er, udvælger redaktionen det bedste bud. I kan selvfølgelig også selv være med til at afgive jeres stemme i debatten om det bedste forslag ved at benytte afstemningsværktøjet på sitet.

Redaktionen udvælger hver uge det bedste forslag og belønner med et gavekort til Hjem-is.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin R. Ehmsen

Det findes allerede på Mac til KDE under linux (GNOME?). Det hedder nøglering (Keychain på Mac). Du skal huske et password der låser op til alle de andre. Programmer kan så direkte hente det password(s) og kun det password som programmet skal bruge, givet at du har låst op for adgangen til nøgleringen fra netop det program.
Dvs. det hele reduceres til et rigtigt godt valgt password.
Man kunne forestille sig det som en online service, givet at man stoler på den eller de som tilbyder denne service. Så vil det kunne bruges fra alle platforme og ligegyldigt hvor du er.

Martin R. Ehmsen

  • 0
  • 0
Terje Theiss

En nem måde at styre passwords er at have 1 kerne password. Det kunne være: Kylling havde ingen ben = khib. Man tager så det system man logger ind på, f.eks. google og skriver: google = goog, så kombinerer man dem: khibgoog.Hvis det var ens hotmail adresse kunne man skrive khibhotm.

Det er en god idé at bruge store bogstaver og tal i passwordet, så kan man finde et tal, det kunne være det årstal man startede på sit arbejde, blev gift eller noget helt tredje. Så kunne det se ud som:

khib72goog eller 72khibhotm eller khib72Hotm

/terje

  • 0
  • 0
Dennis Schwartz-Knap

Man kunne forestille sig at man kunne have en digital nøgle liggende på en fælles server et sikkert sted på nettet. Sådan at når man skulle logge ind på en hjemmeside, eller en service kunne validerer op mod denne. Man kunne evt. forestille sig at man kunne kombinere det med en hardware token. Alt i alt ville det gøre vi kun behøvede ét password... Øv, var den ide allerede taget...?

Spøg til side, jeg fandt et lignende værktøj som Martin beskriver, bare til windows. Det gode ved dette værktøj er at man kan gemme automatisk login for alle programmer og websider. Samtidig kunne man scripte sig ud af login bokse der har det med at flytte sig. Det hele var selvfølgelig spændt op mod at man via sin fingeraftryksaflæser ikke behøvede at huske et computergenereret 15 cifferet password.

  • 0
  • 0
Kirsten L. Madsen

Man kunne måske lave en central database, som alle kan teste op imod, måske på nationalt niveau.
Så man engang opretter sig og sin kode i denne centrale base og så tester de hjemmesider der vil bruge password op imod den base. Så skal man kun huske sin brugerid eller måske kan man nøjes med en mailadresse. Og så er de hjemmesidernes ejere, der betaler hvad det måtte koste

Ellers kunne den digitale signatur være lidt nemmere at bruge, så kunne den jo anvendes.

  • 0
  • 0
Kim Hjortholm

Langt den nemmeste løsning er at bruge pwdhash fra standford university http://crypto.stanford.edu/PwdHash/

Pwdhash genererer unique password for enhver website.

Pwdhash tager udgangspunkt i master-pasord oplyst af bruger hvorefter dette sammen med med url for website bruges til at generere et unique pasord for pågældende website.

Det betyder man kun behøver at huske et enkelt password som udgangspunkt (eller hvis man er omhyggelig så bør man bruge 3 forskellige pasord - læs blogentry refereret længere nede)

Sammen med browserplugin til pwdhash der hjælper med at generere unique password for hver enkelt website er det en smal sag at holde sikkerheden i top.

Læs dette blogentry for en nærmere forklaring

http://edgecrafting.blogspot.com/2007/08/pwdhash-one-password-to-rule-th...

/Kim Hjortholm

  • 0
  • 0
Karsten Poulsen

Jeg bruger keepass paa flere platforme (Windows 2000, Windows XP, Linux (SuSE) samt paa PDA: Windows Mobile). Keepass er OpenSource.

Fordelene ved dette program:
1) Main password og/eller en fil et vilkaarlig sted
2) Du kan bruge flere filer.
3) Der er en meget god makro-funktion, som automatiserer f. eks. logins.
4) Keepass har ogsaa en password-generator.
5) ...

Venlig hilsen
Karsten Poulsen

  • 0
  • 0
Benny Nissen

Ved de fleste fingeraftryks scannere medfølger der software til at huske bruger & koder til alt muligt, så når et vindue (browser eller applikation) vil have bruger og kode, kører man bare fingeren hen over scanneren - nemt og hurtigt :)

//Benny

  • 0
  • 0
Jesper Kleis

Ja - der er sikkert mange der er ueninge med digital signaturs fortræffeligheder.

Men at få en enkel signatur løsning - der gav adgang til en crossplatform Password bank af stærke passwords til alle internetsider (ud fra adressen på siden, bliver der f.eks. genereret et password når man besøger den første gang, hvorefter den bliver lagt til ens database) vil ud fra min synsvinkel være ganske behageligt.

  • 0
  • 0
Kristian Larsen

Dette kommer i høj grad an på hvilken vinkel man anskuer det fra.

Ift. det åbne internet er OpenID IMHO løsningen, og man bør af princip sende nag mails til sine forsk. service providere om at de skal supportere OpenID (kom nu med på vognen version2!).

Ift. intern virksomheds sikkerhed bør en centraliseret identity management løsning implementeres og hvis muligt gøre adgangs kontrol token baseret (scan, rsa, mobil etc.).

Ift. det offentlige er det nuværende svar selvfølgelig digital signatur - det har så en del problemer som er rigt beskrevet rundt omkring.

  • 0
  • 0
Mark Ruvald Pedersen

De fleste nyere bærbare har indbygget webcam. Og som det meste af al andet teknologi, bliver det udnyttet for dårligt (læs: msn video chat).
Med blot en smule ekstra software installeret per default, vil ansigtsgenkendelse hurtigt kunne blive standarden.

Med hurtigt menes >5-10 år; det skrevne password er temmeligt sejlivet.

  • 0
  • 0
Jonas Finnemann Jensen

Jeg må ærligt tilstå at jeg ikke kender teknologien i detajler... men er det ikke noget med at den skal genkende ens finger aftryk... Hvordan kan det nogensinde blive sikkert over netværk... eller bare på en almindelig pc...

Sikkerhed skal være kryptografisk... det bliver den sandsynligvis ikke med biometri!

  • 0
  • 0
Dennis Schwartz-Knap

Det er blevet bevist at fingeraftryk er noget af det nemmeste af hacke. Det eneste det kræver er adgang til scanneren og udstyr for omkring 10 dollars til at kopiere det fingeraftryk der allerede findes omkring scanneren (og sikkert over alt på selve tastaturet).

jeg tror at hvis man skal bruge fingeraftryk skal det være sammen med nogle af de andre teknologier hvis det overhovedet skal give mening. Man kunne godt forestille sig en procedure som fingeraftryk+ansigtsgenkendelse+digital signatur = login, altså som single signin procedure.

  • 0
  • 0
Maciej Szeliga

Jeg har to nøgler til hjemmet, en til postkassen, en til bilen, to til cyklen, tre til arb. pladsen, to til sommerhuset, etc...

Jeg har uendeligt mange plastikkort... hver med en PIN... og et par mobiltelefoner... også med en PIN... hvordan skal vi dog slippe for PIN-tyranniet...

Jeg har muligvis fået solstik... men jeg syntes disse to ligner password-problematikken.

  • 0
  • 0
Peter Rosenberg

Jeg går ind for et Distribueret (resilient), men centralt forvaltet sikkerhedsløsning - først Nationalt ..og sidenhen måske internationalt.
Det skal ikke kunne crackes fra centralt hold alene, det vil sige at det skal kræve mindst 2 nøgler for at blive åbnet. Åbninger skal logges og stilles til rådighed for offentlighed i forvaltningen.
Så skal man huske at nøglen skal kunne skelne imellem hvilken rolle man besidder, når man skal aflevere sit password. Hvorfor spørger I måske ?
Det er fordi der findes (offentlige især) ansatte i dette land med mange beføjelser f.eks. som yder service overfor andre borgere. Derfor skal f.eks. en læge ikke kunne behandle sig selv, en apoteker ikke kunne udskrive medicin til sig selv, en dommer dømme sig selv, osv.
Med denne rollebaserede sikkerhedsmodel, vil enhver Busines Process Arkitektur model kunne gøres til genstand for tilnærmelsesvis sikker elektronisk behandling, og man vil som part i en given process kunne deltage i arbejdet i en ægte distribueret model, f.eks. velegnet til hjemmearbejdspladser.

  • 0
  • 0
Christian Ernstsen

Eller hvad? Jeg har (som så mange andre) en fingeraftrykslæser på min bærbare, og det gør det nemt at logge på computeren, og med en sådan læser vil det blive endnu lettere at have et "master password" = "finger print" løsning, hvor jeg skal indtaste ethvert nyt site/kodeord/brugernavn én og kun én gang, så kan jeg lykkeligt glemme alt om det og nøjes med at lade en applikation finde credentials frem til mig efter jeg har indlæst mit fingeraftryk.

MEN! Det må øge risikoen for fysiske overfald. En bil, der ikke har nøgle, men fingeraftrykslæser, der vil det være nødvendigt med ejerens/brugerens finger for at starte den; ikke en heldig situation for chaufføren, når han bliver holdt op af en røverbande med geværer og en rosensaks. Så hellere et digitalt overfald hvor mit kodeord bliver lusket ud af maskinen med en keylogger, eller hvor jeg bliver truet af en fæl terrorist til at afsløre at mit kodeord er konens fødselsdato (ups!).

Personligt sværger jeg til den allerførste metode nævnt i denne tråd, nemlig at man konstruerer et kodeord ud fra en regel, hvor konteksten indgår - det har jeg selv med succes benyttet i mange år, og jeg glemmer aldrig mine kodeord længere. Men men men, visse steder er der indført obskure regler for "sikre" kodeord, såsom brug af store/små bogstaver og specialtegn, så det er vigtigt at konstruere en regel eller algoritme, der opfylder alle nuværende og fremtidige kodeordsregler - ikke en nem opgave! :-)

  • 0
  • 0
Søren Dreijer

Det primære mål for two-factor authentication er måske ikke ligefrem at reducere mængden af stærke passwords, men derimod at gøre sikkerheden større ved at tilføje et ekstra lag. For eksempel synes jeg PhoneFactor [http://phonefactor.com] har en helt unik vinkel til dette. I stedet for at kræve at folk laver super komplekse passwords, som de ikke kan huske fem minutter senere, så ringer PhoneFactor til din mobiltelefon, når du logger ind. Hvis dit password så bliver stjålet, vil du blive ringet op på din mobil, og du kan fortælle PhoneFactor, at det ikke er dig, der forsøger at logge ind.

Med andre ord kan man tillade sig at vælge en smule nemmere passwords uden samtidig at skulle gå på kompromis med sikkerheden.

  • 0
  • 0
Anonym

Med KeePass Portable er der automatisk en form for two-factor authenthication. Der skal både være en bestemt USB nøgle tilstede, sammen med det grundlæggende kodeord.

Det eneste jeg synes mangler ved KeePass er en differentiering efter følsomheden af de data der kan nås; F.eks. kunne jeg godt leve med at skulle huske et ekstra kodeord for at kunne udføre on-line banking.

Ole.

  • 0
  • 0
Jesper Lund

Jeg bruger PasswordSafe til at administrere mine mange brugernavne og password (omkring 100 forskellige).
http://passwordsafe.sourceforge.net/

Jeg synes at dette er en bedre løsning for mig end diverse centraliserede one-size-fits-all single-signon procedurer ala DanID, fordi jeg bevarer den fulde kontrol lokalt, og fordi jeg kan administrere forskellige identiteter (brugernavne) hvis jeg ønsker dette.

  • 0
  • 0
Tine Havkrog Brandenborg

Tak for jeres mange gode bud og den livlige debat.

Redaktionen har denne gang spurgt to af sine garvede bloggere, Poul-Henning Kamp og Peter Toft, om hjælp til at udpege en vinder.

De peger begge på "One password to rule them all" af Kim Hjortholm, 7. juli 12:18

Argumentet er som følger: Der er ikke nogen af løsningerne, der er "en helt klar vinder", men PwdHash, som Kim peger på, løser et meget væsentligt sikkerhedsproblem, uden at gøre det mere besværligt for brugeren.

Med PwdHash kommer brugerens password aldrig i nærheden af webserveren og derfor kan et sikkerhedsbrud på én website ikke give adgang til
et password, der bruges på en anden website.

Derfor er risikoen ved at nøjes med ét godt password stort set elimineret.

Fordi algoritmen er åben og simpel, er det muligt at implementere den som off-line løsning, f.eks på en mobiltelefon, så man ikke er afskåret fra at logge ind, hvis man låner en fremmed browser.

Hvis den browser man låner er offer for en key-logger, er det kun et hashet password til den ene website de kriminelle får fingre i.

Hvis man tog skridtet helt ud og havde en knap man kunne trykke på så webserverens nonce blev vist på skærmen og hele HTTP authentication processen blev kørt på mobiltelefonen, ville det password de havde sniffet ikke engang kunne bruges senere.

Rent faktisk sidder vi og undrer os over at den password politik ikke var bygget ind i HTTP fra starten som default...

pto & phk

Version2 kontakter Kim Hjortholm , som har vundet et gavekort til Hjem-IS.

Næste runde af sommerkonkurrencen er allerede begyndt, hvor du kan komme med dit bud på, hvordan vi undslipper dumme it-brugere.

Med venlig hilsen

Tine Havkrog Brandenborg, community builder, Version2

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize