Ond kodeordschecker advarer dig mod at genbruge dit kodeord

»Please don't actually use this.«

Sådan skriver udvikleren bag kodeordscheckeren 'evilpass', der, som navnet også antyder, er en kodeordstjekker, som kontrollerer kodeord for noget ganske vigtigt - men på en absolut forkert måde. Og det er en pointe i sig selv.

Mange tjenester benytter en kodeordstjekker, når brugerne registrerer sig eller skifter kodeord. De kontrollerer, om det valgte kodeord eksempelvis er langt nok og indeholder en fornuftig kombination af bogstaver, tal og specialtegn.

Det resulterer i en vejledende vurdering af, om brugerens kodeord er stærkt eller svagt.

Evilpass tjekker dog et andet aspekt, som sådan set er relevant nok, men etisk set er temmelig problematisk. Derfor er det ikke meningen, at man rent faktisk skal bruge evilpass, som udvikleren pointerer er inspireret af en stribe fra webtegneserien xkcd.

Den tjekker nemlig, om brugeren har genbrugt sit kodeord på en anden tjeneste - men vel at mærke ved at tage det brugernavn og kodeord, brugeren har oplyst, og forsøge at logge ind på blandt andet Facebook, Google og Twitter.

Hvis det lykkes, så får brugeren en advarsel om ikke at genbruge sit kodeord på flere tjenester.

Tjenesten får dit kodeord

Det er da også ét af de vigtigste råd til god kodeordshygiejne, men det er samtidig også noget, det er svært for andre end brugeren selv at sørge for. Som skaberen bag evilpass pointerer, så ville det næste oplagte skridt jo være at gemme brugerens kodeord og misbruge det på de tjenester, hvor det er blevet genbrugt.

Dermed illustrerer evilpass, hvorfor det er en dårlig idé at genbruge kodeord: Når du afgiver dit kodeord til en tjeneste, så skal du stole på, at den tjeneste aldrig enten med vilje eller på grund af dårlig sikkerhed giver dit kodeord videre.

Men som talrige læk af kodeord, der er lagret med svag kryptering eller helt uden kryptering har vist, så kan man ikke vide sig sikker. Derfor bør man ikke udlevere det samme kodeord til forskellige tjenester.

Set fra den anden side af bordet - hos dem der administrerer tjenesten, så kunne det være interessant at sikre sig mod, at en bruger genbruger sit kodeord. En kompromitteret bruger kan føre til datalæk, dårlig omtale og udgifter til support. Men det er desværre noget nær umuligt at tjekke, om brugeren genbruger sit kodeord - i hvert fald på andre måder, end den suspekte metode, evilpass benytter sig af.

Kodeord er svære at måle

Ikke alle styrkemålinger for kodeord er lige anvendelige. Hvis der blot tjekkes for længde og brug af forskellige typer tegn, så kan 'passWord1234' få en højere vurdering end 'JB4tdNq7Fb', selvom det vil være mere sårbart over for angreb baseret på en ordliste med eksempelvis kodeord, som er blevet lækket fra forskellige tjenester.

Sponseret indhold

Webinar: Det er ikke nok at sikkerhedskopiere din data

It-sikkerhed

Dropbox har udviklet zxcvbn, som er opkaldt efter en tastatursekvens, og den bygger på nogle af de principper, som også bruges, når man forsøger at gætte kodeord. Den tjekker eksempelvis, om man bruger variationer over almindelige ord eller navne fra populærkultur, tastatursekvenser eller almindelige udskiftningsregler så som, at E byttes ud med 3.

Til gengæld tillader den blandt andet passphrases, hvor man sætter en usædvanlig kombination af ord sammen.

For slutbrugerne er det stadig en løbende debat, hvilken type kodeord der er bedst. Imidlertid er de fleste sikkerhedseksperter enige om, at kodeord altid bør være unikke, og altså ikke genbruges, og til det kan en kodeordshusker som Lastpass eller lignende være nyttig.

Alternativt kan man vælge kodeord, der nok er lettere at gætte end de lange, tilfældige kodeord, som Lastpass genererer, men så kombinere disse simplere kodeord med to-faktorautentifikation via eksempelvis sms.