Lange kodeord slår komplekse kodeord

Et udvidet tegnsæt er ikke nok til at gøre et kodeord sikkert. Længden kan spille en større rolle.

De fleste, der er opflasket på Unix-systemer eller på anden måde har stiftet bekendtskab med strenge regelsæt for kodeord, er stødt ind i kodeord, der skal indeholde store og små bogstaver, tal og specialtegn.

Men kodeord uden forskel på store og små bogstaver, uden tal og specialtegn kan være mere sikre, hvis de er længere end de strenge kodeord.

Kodeord med de strenge regelsæt skal typisk være syv til otte tegn, men dropper man de strenge regler og i stedet indfører et krav om en længde på minimum 15 tegn, kan man opnå større sikkerhed. Det skriver sikkerhedskonsulent Juan Bocanegra fra McAfee på selskabets sikkerhedsweblog.

Selvom der er det halve antal tegn, som kan indgå i kombinationerne, så betyder længden en kraftig forøgelse af den tid, det vil tage at knække kodeordet med brute force, så længe der er tale om en kode, der ikke kan løses gennem et dictionary-forsøg.

Ved hjælp af værktøjet Cain & Abel har Juan Bocanegra beregnet, at det vil tage omkring ni år at knække et kodeord på syv tegn dannet ud fra et tegnsæt på 52 tegn. Til gengæld vil det tage omkring 12 millioner år at knække et kodeord på 15 tegn ud fra et tegnsæt på 26 tegn.

Med den længere adgangskode behøver brugeren ikke være opmærksom på forskel på store og små bogstaver, ligesom forskellige tastaturlayout som eksempelvis dansk og amerikansk tastatur heller ikke vil give problemer.

Til gengæld skal brugeren huske en længere sekvens, som stadig ikke må være afledt af rigtige ord eller indeholde for mange gentagelser, der kan gøre det lettere for en prioriteret brute force-algoritme at knække koden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Dybdahl Ahle

Mon ikke det er nemmere at huske en ordkæde.
Hvis vi siger at vi har 50.000 ord at vælge i mellem (http://sproget.dk/sprogtemaer/ord-og-bogstaver/hvor-mange-ord-er-der-pa-...) kan en sætning på 5 ord, danne 186 gange flere koder end en kode på 26 bogtaver (50000^5/26^15=186).
Man kan dog sikkert løse den hurtigere, hvis man bruger grammatik, men så kan man jo bare gå op til 10-15 ord.

Principielt hælder jeg dog mere til tanken om grafiske kodeord (http://feeds.arstechnica.com/~r/arstechnica/BAaf/~3/179208903/20071103-g...) der er langt nemmere at huske.

Fingeraftryk er også en løsning, men så foretrækker jeg alligevel noget mentalt frem for en ting man kan "skære af".

  • 0
  • 0
Kristian Thy

Jeg laver lange ikke-ordbogs-kodeord ved at indtaste forskellige figurer på mit keyboard, så jeg bare skal huske hvilken figur (fx et "ottetal" omkring g og j) samt hvornår i rækkefølgen jeg holder shift nede.

Det betyder desværre at jeg ikke kan logge ind fra en maskine med Dvorak-keyboard >:-)

  • 0
  • 0
Torben Mogensen Blogger

Jeg bliver jævnligt bedt om at finde på kodeord på mindst otte tegn, der indeholder tegn i ALLE følgende kategorier: Store bogstaver, små bogstaver, cifre, specialtegn.

Det giver godt nok et større udvalg af tegn, men ved krav om at alle kategorier skal med får man ofte kodeord, der er svære at huske (og besværlige at taste), så man er tilbøjelig til kun at bruge de otte tegn, som er minimumskravet.

I stedet bør man anbefale, at der bruges tegn fra flere forskellige kategorier, og at man bruger længere kodeord, jo færre tegnkategorier, man bruger. I alle fald bør man undgå, at kodeordet er et brudstykke af almindelig tekst, da man kan bryde det med ordbogsangreb.

Med lidt mere frihed til formatet, kan man bruge diverse huskeregler til sit kodeord, uden at det dermed bliver nemt at gætte. Jeg kunne f.eks. vælge: "KKsvhmirod", som huskes ved at være forbogstaverne i første linie i "Kong Kristian", eller jeg kunne skrive en stump LaTeX-matematik, f.eks. "$a^2+b^2=c^2$".

  • 0
  • 0
Jarle Knudsen

... er fin til identificering. Til autorisering skal man bruge et password, da biometri alene er altfor nem at forfalske.

Angående lange kodeord iflg. The Simpsons:

Even a monkey can memorize 15 numbers. Are you stupider than a monkey? :D

  • 0
  • 0
Jesper Stein Sandal

5-10 forsøg er vel ikke specielt brugervenligt - slet ikke hvis man nu ikke lige kan huske, hvilket af de mange kodeord og i hvilken form man skal bruge til det konkrete login.

Medmindre kodeordet optræder på listen over de mest populære, hvorfor så ikke tillade brugeren et par hundrede forsøg? Det burde være rigeligt til at forhindre et dictionary-angreb og nok til at brugeren mister tålmodigheden og kontakter administratoren for et nyt password.

5-10 forsøg vil hurtigt blive opbrugt, før brugeren bliver klar over, at CAPS LOCK er aktiveret, og så står man blot med et unødvendigt opkald til helpdesk.

  • 0
  • 0
Knud Henrik Strømming

Det er efterhånden en gammel nyhed, at krav om et langt kodeord giver væsentlig større sikkerhed end krav om kompleksitet. Men for at give større sikkerhed skal der stadig være mulighed for at bruge mange forskellige tegn.
De mulige kombinationer, et brute force-angreb er nødt til at tage i betragtning, afhænger ikke af hvormange forskellige tegn, den konkrete bruger har gjort brug af i sit konkrete kodeord, men af størrelsen af det tegnsæt, brugeren kunne gøre brug af (under forudsætning af at angriberen ikke på anden måde har nogen information om, at brugeren kun gør brug af et mindre udvalg). Selvom brugeren bruger en sætning bestående af ordbogsord, så giver det stadig større sikkerhed, dels fordi der er så mange forskellige ord, dels fordi brugeren (forhåbentlig) stadig har mulighed for at bruge andet end ordbogsord.

I øvrigt ang. biometri og identifikation/autentificering/autorisation:
Biometri er udmærket til identifikation. Til autentificering kræves en eller anden form for hemmelighed (aka kodeord). Autorisation er den proces, der giver den autentificerede bruger adgang til de ressourcer, som denne bruger har lov (autorisation) til (godt at du nu har forstået det, Stephan).

Med venlig hilsen
Knud Henrik Strømming
Dubex A/S

  • 0
  • 0
Log ind eller Opret konto for at kommentere