Lav din egen algoritme til at huske svære kodeord

Tricket til at huske en god og sikker adgangskode er en algoritme, som gør det muligt for dig at genskabe adgangskoden, og som du kan bruge, hver gang du skal skifte koden.

På et tidspunkt giver selv den mest sikkerhedsbevidste bruger op og begynder at genbruge adgangskoder på forskellige websteder eller skriver koderne ned i en notesbog. Men det er selvfølgelig en rigtig dårlig idé, især hvis adgangskoderne skal beskytte vigtige data eller adgangen til firmaets netværk.

Heldigvis findes der flere tricks, der kan hjælpe med at undgå de værste unoder omkring adgangskoder.

Sikkerhedsfirmaet McAfee har opdelt brugernes password-vaner i tre kategorier:

Det globale kodeord, der bliver brugt alle steder. Ulempen er, at hvis ét websted, du handlede hos for to år siden, bliver hacket, så har hackerne også din adgangskode til alle andre steder, hvor du har brugt den samme adgangskode.

Den korte liste. Mange brugere har en håndfuld adgangskoder, som de bruger til forskellige tjenester, alt efter, hvor stor de vurderer risikoen til at være. De mest komplekse koder bliver brugt til sider, der har kreditkort- eller bankoplysninger, mens de mest simple bliver brugt til tjenester, hvor brugeren umiddelbart ikke har noget fortroligt i klemme.

Den sorte bog. Brugeren vælger unikke og komplekse adgangskoder og skifter dem gerne, men skriver alle adgangskoderne ned. Det betyder, at alle adgangskoder er sikre, men det efterlader en risiko, hvis andre får adgang til listen. Skriver man eksempelvis sit login til firmanetværket på et stykke papir i skrivebordsskuffen, så kan enhver kollega, rengøringshjælp eller indbrudstyv finde det.

Problemet er, at gode adgangskoder som ?sPb7j9LQ^3kk7C!g? er svære at huske.

Sikkerhedseksperter anbefaler derfor, at man laver sine adgangskoder ved hjælp af en fast algoritme, altså en fast regel som kan oversætte noget, der er let at huske, til et sikkert kodeord.

»Det er jo desværre sådan, at jo flere forskellige typer tegn, du har i adgangskoden jo bedre. Med både store og små bogstaver har du ikke bare fordoblet, men har øget antallet af kombinationsmuligheder i mange potenser. Du kan også udskifte bogstaver med tegn efter en algoritme, du har i hovedet. Her er det bedre at vælge et system, du selv kan huske, for hvis det bliver for kompliceret, så skriver du det ned. Du skal kun gå så langt, som du selv kan følge med,« forklarer sikkerhedskonsulent Ken Willen fra sikkerhedsfirmaet Symantec.

Sådan en algoritme kan være, at man udskifter visse bogstaver med bestemte tegn, eller at man indsætter specialtegn eller tal bestemte steder i kodeordet. Helt centralt er det dog, at man har en nøgle til at skabe et kodeord, som algoritmen så kan gøre sikkert.

Det kan være forbogstaverne fra en linje af en sang eller et citat fra en bog, så længe man som minimum kan huske, hvor man kan finde nøglen igen, hvis man glemmer sin kode. Adam Wosotowsky anbefaler på McAfees blog, at hvis man laver en god algoritme, så behøver man blot et enkelt ord som nøgle.

På den måde kan faktisk lave en liste over de nøgler, man bruger til forskellige tjenester. For selvom en indbrudstyv får fat i listen, så er nøgler intet værd, hvis man ikke kender den algoritme, du har brugt til at oversætte nøglen til en adgangskode.

Som eksempel giver Adam Wosotowsky en nøgle ?light? til webstedet mcafee.com. En simpel algoritme kan skabe adgangskoden ? 123l1ghTjdqr33^!?. Algoritmen går ud på at sætte 123 foran adgangskoden og skifte i ud med 1 og gøre sidste bogstav i ?light? stort. Dernæst tilføjer han ?jdqr33? ud fra, at det er de bogstaver, man får, hvis man trykker på de taster, der står over bogstaverne i ?mcafee?. Til sidst tilføjer han ^! For at få specialtegn med i adgangskoden.

Fidusen er her, at du kan beholde den samme algoritme, selvom du skifter adgangskoden, du skal blot bruge en ny nøgle.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Lund

"Ulempen er, at hvis ét websted, du handlede hos for to år siden, bliver hacket, så har hackerne også din adgangskode"

Uden at være totalt krypto-nørd eller noget, men antager det ikke at password gemmes i noget der ligner plaintext, eller at jeg vender tilbage til den hackede side?
Der burde da ikke være nogen fare ved at hackerne får fat i en længere hash-sum af mit password...

  • 0
  • 0
Ole Wolf

Det er ikke alle websider, der skal hackes, før ens passwords er i fare. Nogle websider er oprettet med det ene formål at få folk til at afsløre deres passwords: De kræver, at man opretter sig som bruger (f.eks. for at downloade et eller andet interessant), idet man skriver sit brugernavn og sit password. Dette password bliver gemt - ganske rigtigt i plaintext - i en database. Og så har man en glimrende database over brugernavne og passwords, som med stor sikkerhed benyttes på andre, sikre websider.

  • 0
  • 0
Torben Mogensen Blogger

Jeg er helt klart i denne kategori: Jeg har et simpelt løsen, som jeg bruger til de fleste online nyhedstjenester og diskussionsfora, og et lille antal mere komplicerede til sider, der involverer penge samt til min DIKU konto m.m., der har ting, jeg nødig vil miste.

Det har jeg det fint med. I de over 20 år, jeg har brugt nettet, har jeg ikke set tegn på, at nogen har (mis)brugt mine løsen. Nu har jeg heller ikke oprettet konto på særligt tvivlsomme steder, så jeg har nok på den måde undgået de løsenfælder, som Ole nævner. :-)

Jeg synes, at MacAfee's råd om algoritmer til løsen er lidt overdrevne. Eksempelordet "123l1ghTjdqr33^!" er meget langt og mange af tegnene kræver forskellige tofingerkombinationer. Det gør det nemt at lave fejl ved indtastningen.

Det overdrevet at have et løsen, der både er langt [i]og[/i] indeholder besynderlige tegn. Hvis man kun har 8 tegn til rådighed, så kan det være en god ide med et par cifre eller specialtegn, men hvis man bruger 17 tegn, som eksemplet gør, skal man blot undgå at bruge almindelige ord.

  • 0
  • 0
Asbjørn Baagø

Så er det jo bare surt, når man har en algoritme med specialtegn mv., når nogle steder så ikke accepterer det som en del af adgangskoden.

Som eksempel kan nævnes Coop, der ikke accepterer specialtegn, selvom de skriver (eller skrev), at man kunne. Jeg kontaktede dem ang. problemet og fik det svar, at de ville ændre teksten. Hmm... Måske burde man ændre systemet i stedet?

Og endnu værre: danskespil.dk accepterer kun op til 8 karakterer i adgangskoden. Det er altså for lidt. Jeg har et par gange henvendt mig til dem for at høre, om de har en begrundelse, men jeg har aldrig fået svar...

Så kan fine algoritmer jo hjælpe nok så meget, når man alligevel er nødt til at huske småjusteringer til algoritmen på visse sites.

  • 0
  • 0
Jesper Louis Andersen

Hvis man kan angribe din hash med Rainbow tables, så er dit system for svagt. Alle ordentlige key derivation schemes vil forplumre hashen med en tilfældigt genereret salt så Rainbow-tabellen skal bygges om hver gang man ønsker at bryde et nyt løsen. Endnu bedre key derivation schemes (scrypt af Colin Percival f.eks. eller PBKDF2) kræver endnu mere arbejde.

scrypt er specielt lækker fordi den med vilje sørger for at få gjort problemet memory-bundet og hamrende besværligt at løse i hardware. Med andre ord kan man ikke i en FPGA lave en hardwarebaseret løser billigt som er i stand til at afprøve en masse nøgler.

Desværre ser man for ofte at folk ikke er i stand til at implementere key derivation ordentligt, hvorfor at Rainbow-tables og lignende fungerer. Men der er en nem vej udenom dem, hvis man bare ved en lille smule om kryptografi :)

  • 0
  • 0
Per Steffensen

Jeg har bare en fil med alle mine MANGE brugernavn/password. Hver gang jeg laver en "konto" et nyt sted, eller når jeg ændrer et eksisterende password, retter jeg bare i filen.

Denne fil ligger på min harddisk, men er krypteret. Koden til at dekryptere filen har jeg i mit hoved, og det kender ingen andre. Som regel kan jeg huske de brugernavn/passwords jeg bruger oftes, men når jeg nogle gange kommer i tvivl, eller hvis jeg skal ind på en service som jeg kun bruger sjældent, må jeg jo dekryptere min fil for at tjekke hvad password er. Meget nemt.

  • 0
  • 0
Robert Larsen

og hvad hvis dit password IKKE bliver gemt som en hash ?

Mange sites kan jo sende dig dit password igen, så det må jo være gemt ét eller andet sted i plaintext. Hakkerne har så muligvis ikke adgang til det, men det har udviklerne bag siden.

  • 0
  • 0
Jørn Schou-Rode

Jeg kunne godt tænke mig at der var flere sites der viste de indtastede tegn - bare ½-1 sekund inden der vises *. Så ville jeg helt sikkert være mere tilbøjelig til at lægge et par specialtegn ind i koderne.

Interessant pointe, men det er vel ikke en beslutning som udvikleren af et website bør involveres i. Hun skal bare fortælle browseren at her er et passwordfelt, og så er det ellers op til browseren om/hvordan den vil maske indholdet i dette.

Hvis det ikke allerede findes, burde det være en temmelig smal sag at implementere den feature du ønsker dig, fx som en extension til Firefox.

  • 0
  • 0
Log ind eller Opret konto for at kommentere