Microsoft dumper tre klassiske regler for gode kodeord

Illustration: leowolfert/Bigstock
Længde, specialtegn og hyppige skift fører blot til dårlige kodeord. I stedet bør man forhindre genbrug, bandlyse velkendte dårlige kodeord og bruge to-faktorautentifikation.

Den konventionelle visdom om, hvad der gør et kodeord bedre end et andet, bliver løbende udfordret.

Mange af de velkendte krav til kodeord bygger på beregninger af, hvor svært det teoretisk vil være at gætte kodeordet, men de mange læk af kodeord fra virkelighedens verden viser, at til trods for kravene ender brugerne med at vælge kodeord, der er lette at gætte.

I et whitepaper fra Microsofts Identity Protection-team opsamles de erfaringer, Microsoft og andre har gjort sig med passwords, og hvilke regler der i praksis virker til beskyttelse af eksempelvis virksomhedens Windows-netværk med Active Directory.

Microsoft trækker især tre regler frem, som håndhæves mange steder, men som ikke fører til bedre kodeord samlet set.

Længde giver ikke automatisk styrke

Udfordringen med kodeord er, at mennesker skal kunne huske dem.

Derfor har det i mange år været et godt råd, at man øgede kravet om minimumslængde, men til gengæld slækkede lidt på krav som store og små bogstaver eller specialtegn.

Især har tegneserien xkcd givet begrebet passphrase et boost. En passphrase er en kombination af flere tilfældige ord.

Tanken er, at man er bedre til at huske fire tilfældige ord, end 10 tilfældige tegn.

Det har også været brugt i en variant, hvor man tog det første bogstav i hvert ord i en sætning, som man kunne huske.

Men der er undersøgelser, der tyder på, at det ikke nødvendigvis fører til, at man bliver bedre til at huske kodeordene.

Det er heller ikke nødvendigvis svært at gætte, medmindre brugeren reelt vælger tilfældige ord.

Xkcd-eksemplet er 'correcthorsebatterystaple'. Det har en meget høj teoretisk entropi, men det forudsætter, at ordene er valgt tilfældigt ud fra en stor ordbog, og at brugerne ikke er mere tilbøjelige til at vælge navneord frem for udsagnsord eller ord, der beskriver fysiske genstande frem for abstrakte begreber. Eller altid stiller tillægsord foran navneord.

Det vil alt sammen reducere entropien, fordi en hacker vil have nogle mønstre at gå efter frem for at arbejde med helt tilfældige kombinationer.

I praksis vil det også være svært for systemadministratoren at sikre, at brugerne vælger gode kombinationer frem for dårlige. Ofte vil man se passphrases håndhævet ved at kræve eksempelvis 16 tegn som minimum, men det kan føre til, at folk blot bruger kodeordet 'passwordpassword'.

Tal og specialtegn giver falsk tryghed

Det er et almindeligt krav, at kodeord skal indeholde både store og små bogstaver, tal og specialtegn. Tanken er, at man øger entropien ved at øge antallet af muligheder pr. tegn i kodeordet.

I praksis viser det sig, at det ikke fører til kodeord som 'rC7Je!r3', men snarere til kodeord som 'p@ssW0rd', hvor placeringen af de forskellige typer tegn ikke er tilfældig. Det betyder, at det er meget lettere at gætte end en ægte tilfældig fordeling.

Læs også: Kompliceret og usammenhængende password-politik? Så synes dine brugere nok, du er idiot

Hyppige skift fører til seriekodeord

Det er en udbredt kodeordspolitik, at man skal skifte sit password med et vist tidsinterval, som for eksempel kan være hver tredje måned. Grundlaget for den politik er, at det forhindrer en hacker i at udnytte et kodeord, som er opsnappet eller gættet.

Men erfaringerne har vist to ting. For det første bliver et kodeord udnyttet, så snart hackeren kender det. Medmindre det har taget så lang tid at knække kodeordet, at det i mellemtiden er skiftet, så giver de hyppige skift ingen beskyttelse.

For det andet vil brugerne være mere tilbøjelige til at vælge et nyt kodeord, der er afledt af det gamle, så 'password1' for eksempel bliver til 'password2'. Hvis man først kender brugerens mønster for kodeord, så skal der meget færre gæt til at knække et nyt kodeord fra samme bruger.

Læs også: Forskere: Brugeres idé om et stærkt kodeord er ofte i hegnet

Bandlys dårlige kodeordsmønstre

Microsoft har også en række forslag til, hvad der har vist sig at virke i praksis, når det gælder kodeordspolitikker. Microsoft benytter dem blandt andet selv i Azures Active Directory-tjeneste.

Det gælder eksempelvis en liste over kendte kodeord, der er for lette at gætte, samt visse mønstre for konstruktion af kodeord. Hvis en bruger forsøger at konstruere et kodeord, som følger et banalt mønster, kan brugeren blive bedt om at prøve at lave et nyt kodeord.

Derudover er det også vigtigere end de tre første regler, at brugerne ikke genbruger kodeord. Hvis en bruger benytter samme kodeord på firmanetværket som på LinkedIn, så bringer det firmanetværket i fare, hvis LinkedIns password-database bliver lækket på nettet.

Og it-afdelingen har ingen chance for at vide, at en bestemt brugers kodeord kan være kompromitteret som følge af et læk.

Ifølge Microsofts egne tal, ser selskabets cloud-tjenester cirka 12 millioner forsøg om dagen på at afprøve login-oplysninger, der stammer fra lækkede kodeordslister.

Da kodeord i sig selv ikke er ufejlbarlige, så bør man også benytte to-faktor-autentificering. Eventuelt kan man begrænse det til kun at være et krav, hvis der sker login-forsøg fra en ukendt enhed.

To-faktor-autentifikation hjælper ifølge Microsoft ikke kun med at beskytte mod angreb. Selskabets egne statistikker viser, at der er færre problemer med at nulstille kodeord, hvis brugeren har glemt det, ligesom det bliver lettere at genvinde kontrollen over en konto, der er blevet kompromitteret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Allan S. Hansen

Det er dejligt hvis vi kunne komme væk fra nogle af de tåbeligheder med "skift password hver måned" (aka 01, 02, 03, 04 problemet) eller de der tåbelige "du skal have store og små og special og stjernetegn" etc.....

Men også derfor kunne det være sjovt at se nogle statistikker for hvor mange kontoer af diverse slags der bliver kompromitteret på grund af dårlige/usikre passwords, frem for eks. phising, fejl/angreb på server og/eller på grund af dårlig implementering af log ind procedure (eks. ingen max-forsøg for forkert kode m.m.)

Meget af dette password snak virker som at vores password skal kunne modstå offline, målrettede angreb fra super computere med GPU parallelisering og hvad ved jeg; men er det reelt passwords der er problemet eller de andre faktorer? Om en super computer skal bruge 5 dage eller 5 år på at cracke mit password med et par millioner forsøg i minuttet, burde være ligegyldigt hvis den alligevel kun kan lave 3 request til en log ind service før der sker sikkerhedstiltag.

Især hvis vi så også medtager den faktor, at komplekse passwords så bliver genbrugt mange steder, eller man skriver dem ned, gemmer dem centralt i en vault med alle andre passwords eller sågar lader dem ligge i plain tekst i sin email konto. Og hvor ofte har man ikke fået opkald fra familien med "jeg har glemt adgangskoden"......

  • 5
  • 0
#4 Joe Sørensen

Men også derfor kunne det være sjovt at se nogle statistikker for hvor mange kontoer af diverse slags der bliver kompromitteret på grund af dårlige/usikre passwords, frem for eks. phising, fejl/angreb på server og/eller på grund af dårlig implementering af log ind procedure (eks. ingen max-forsøg for forkert kode m.m.)

Fejl/angreb på server er tit grunden til at en virksomhed pludselig kommer til at afsløre alle passwords til samtlige konti samtidig. Jeg har set mange, som tror at det overhovedet ikke vil kunne ske for dem, selv om deres procedure og kvaliteten af deres software gør at de er en meget sandsynlig næste offer.

Meget af dette password snak virker som at vores password skal kunne modstå offline, målrettede angreb fra super computere med GPU parallelisering og hvad ved jeg; men er det reelt passwords der er problemet eller de andre faktorer?

Det er så næste linje i forsvaret. Når en angriber står med alle passwords hashes, må man håbe at: 1. De giver en kvajebajer. ( eller i det mindste indrømmer/opdager problemet ) 2. Det var hashed passwords 3. Deres hash algoritme er en saltet SHA eller bCrypt 4. At man selv har valgt et sikkert password. Ellers kan de alligevel regne den frem på trods af algoritmen.

Når en angriber pludselig har adgang til hash værdien af alle passwords, så behøver han ikke knække dem alle. Kun nogle af dem. Eller måske kun et. Så han behøver kun at forsøge med den første million af populære passwords på alle hashes og se hvilken der først åbner. Og så har angriberen adgang til noget han ikke burde have adgang til. Måske virker koden til brugerens email, hvor alle andre koder jo ligger, og samtidig til brugerens vpn.

  • 1
  • 0
#7 Lars Tørnes Hansen

For kodeord til web sites:

Min favorit browser er Firefox, og der bruger jeg et master kodeord, og så et langt og et unikt umuligt at huske og langt kodeord til hvert eneste website.

Jeg har også en printet version af kodeordene for tilfældet at alle lagermedier ikke længere virker, browser laver ged i alle kodeord, etc.

  • 0
  • 0
Log ind eller Opret konto for at kommentere