Hvis du bruger et kodeord, der har figureret i et datalæk, så er det i udgangspunktet en god idé at udskifte kodeordet, så hackere ikke kan misbruge det til at få adgang til diverse tjenester, hvor det samme kodeord måtte være genbrugt.
Og retningslinjer fra den amerikanske standardiseringsorganisation NIST anbefaler direkte organisationer at blokere for, at brugere kan anvende kodeord, der tidligere har floreret i datalæk.
For at hjælpe brugere og organisationer med at detektere, om et kodeord er en del af et datalæk, har den australske sikkerhedsmand Troy Hunt siden august sidste år kørt tjenesten Pwned Passwords, som netop er blevet udvidet.
På Pwned Passwords er det muligt at se, om et givent kodeord har været en del af et datalæk. Tjenesten baserer sig på hashværdier af lækkede kodeord i SHA1-format. Informationerne er sammensat fra diverse datalæk, som florerer rundt om på nettet.
I et blogindlæg om projektet påpeger Hunt, at SHA1 ikke egner sig til brug for kodeords-hashing i et produktionsmiljø. Algoritmen er for hurtig og dermed nem at brute-force. Men han mener alligevel, SHA1 er velegnet til Pwned Passwords til at obfuskere kodeordene med, så de ikke er umiddelbart læsbare. Kodeordene her er jo også allerede lækkede, kan man sige.
Listen har Troy Hunt her i februar måned i år opdateret fra version 1 med 306 millioner hashede kodeord til version 2, der indeholder 501 millioner SHA1-værdier fra kodeord. Sådan da. Hunt vurderer, at der også er poster baseret på skrammeldata og ikke egentlige kodeord. Men det er underordnet i forhold til formålet, påpeger han.
Test online
Listen kan hentes og eksempelvis implementeres i ens eget system, ligesom det er muligt at teste online, om et kodeord har været en del af et datalæk.
Det lyder måske ikke særligt betryggende at indtaste et kodeord på en tredjepartsside, der hævder at ville hjælpe dig med at se, om kodeordet figurerer i et datalæk. Det kan jo være en smart måde at få fat i folks kodeord på.
Og af samme grund fortæller Hunt i blogindlægget, hvordan han i forhold til version 1 af listen udstyrede søgeboksen med en advarsel om, at brugere ikke skal indtaste kodeord, der aktivt bliver brugt. Heller ikke på Hunts tjeneste.
Som Hunt bemærker, så læser folk dog ikke altid den slags.
I forhold til version 2 af Pwned Passwords har Hunt dog med hjælp fra Junade Ali fra CloudFlare sat søgningen op til at være mere privacy-orienteret. Det sker i erkendelse af, at folk faktisk indtaster deres aktive kodeord.
Den øgede privacy vil kort fortalt sige, at Hunts tjeneste ikke får tilsendt hele kodeordets hashværdi, men kun de første fem tegn. Herefter bliver alle hash-værdier med de fem indledende tegn returneret til klienten. Det kan eksempelvis være 475 hashværdier. På klientsiden bliver det nu valideret, om en af de 475 hashværdier matcher det indtastede kodeord.
Processen er nærmere forklaret i Hunts blogindlæg.
En tæller
Den seneste udgave af Pwned Passwords omfatter selvsagt ikke alle datalæk i hele verden, men med 506 millioner poster kommer den godt omkring. Udover at der er kommet flere lækkede kodeord til på listen, så er hash-værdierne blevet suppleret med en tæller, der viser, i hvor mange datalæk kodeordet optræder.
Hunt bemærker, at hvis et kodeord optræder i mange datalæk, så kan det skyldes, at den samme bruger har anvendt kodeordet mange steder, ligesom det kan skyldes, at kodeordet er et, som flere brugere uafhængigt af hinanden er kommet på. Begge dele gør det til et dårligt kodeord.
Nogen vil nok mene, at selvom et kodeord kun optræder i ét læk, så er det et læk for meget.
Hunt fortæller, at flere har kontaktet ham på baggrund af version 1-listen. Her var meldingen, at det er et 'usability nightmare' at blokere for 320 millioner kodeord - og 501 millioner vil gøre den situation endnu værre.
Så tælleren i forhold til, hvor mange gange et kodeord optræder i datalæk, er indført for at fungere som en indikator på, hvor dårlig en idé, det er at vælge kodeordet. Hunt har i den forbindelse ikke nogen direkte anbefaling til, hvor mange gange et kodeord skal optræde, før brugeren helt skal forhindres i at vælge det.
»It depends,« skriver han.
En besøgende bemærker i øvrigt i kommentarsporet under Hunts indlæg, at 'correct horse battery staple' optræder i to datalæk.
