Opfinder af ‘best practice’ inden for passwords fortryder sine råd

8. august 2017 kl. 13:3112
Opfinder af ‘best practice’ inden for passwords fortryder sine råd
Illustration: designer491/Bigstock.
I stedet for at konstruere passwords, som er relativt nemme for menneskehjerner at huske, er de nødt til at være obskure, for at hackere ikke bryder dem relativt nemt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Et password skal indeholde små og store bogstaver samt tal for at være stærkt, plejer rådet at være. Men for at kunne huske de komplicerede passwords har mange brugt lang tid på at udtænke passwords som ‘P@ssW0rd123!’ (se her bort fra det dumme ord-valg password).

Problemet er, at mange mennesker kommer til at bruge de samme teknikker til at fremstille passwords, hvilket gør det nemt for hackere at bryde. Derfor fortryder Bill Burr, tidligere leder af NIST, National Institute of Standards and Technology, at han i 2003 udgav ‘NIST Special Publication 800-63. Appendix A’ om ‘best practice’ inden for passwords, skriver the Verge.

Eller det er ikke så meget det, at han rådede folk til at fremstille passwords, som er relativt nemme at bryde, den pensionerede, 72-årige Burr fortryder.

Det er mere det, at har fået daglige brugere af computere til at blive dovne og uopfindsomme med deres passwords, som så bliver til noget a la ovenstående eksempel ‘P@ssW0rd123!’.

Artiklen fortsætter efter annoncen

Det har gjort koderne nemme at forudsige og dermed nemme for hackere og algoritmer at bryde.

Det var også Burr, som gav det råd at skifte password med et interval på 90 dage, som særligt større virksomheder, akademiske og statslige institutioner indførte, og som nogle af os stadig sidder og kæmper med hver tredje måned.

I stedet skal passwords være obskure og uden mening for at være svære at bryde. Eller man kan bruge passwordmanagers, som krypterer ens passwords. Men det kræver stadig et stærkt master-password.

NIST udkom med nye retningslinjer i juni, hvor udgangspunktet var at begynde helt forfra. Dem kan du læse her.

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
11. august 2017 kl. 19:45

Øhh og 26^(10) = 141*10^(12) er resultatet af at lave skole-relaterede ting, mens man er på V2.

forfra: så er det selvfølgelig 26^(10), med 2*10^9 forsøg i sekundet har vi 70000 sekunder før passwordet med den det sidste bogstav i alfabetet i alle kodens 10 felter er fundet.

Med store og små vs små: 52^(10)/26^(10) = 1024 gange så mange muligheder.

11
11. august 2017 kl. 19:32

Selvfølgelig er muligheden der (hvis siden/app'en/what ever understøtter det), men hvis folk ikke bruger det, hvorfor så lave en fancy algoritme som bruger det hele ?

Hvis du nu sætter dig ind i hvordan man på en simpel måde ville bruteforce et password (dvs, prøve alle kombinationer frem til du rammer jackpot), ville den klart mest oplagte måde være at prøve sig ad med alle små bogstaver i forskellig kombination, fra passwordets minimumslængde op til hvad der understøttes som max. Hvis du kun bruger små bogstaver i din kode vil denne måde nemt kunne knække dit kodeord og vil fylde omkring 5 linjer kode.

Ved inførsel af store bogstaver har du mangedoblet mulighederne man skal igennem for at knække samme password.

Jeg vil mene at matematikken siger noget i stil med: antal muligheder = (antal forskellige input muligheder)^(antal karakterer)

dvs for vores eksempel med små bogstaver, lad os sige der er 26 små bogstaver i alfabetet og vi laver et password på 10 karakterer:

26^(10) = 141*10^(12)

Det virker måske som mange muligheder, men ser vi på siden her bruger de som udgangspunkt 2*10^9 gæt i sekundet, hvor de har det fra skal jeg ikke kunne sige, men med processorer i GHz størrelsen virker det måske ikke helt ved siden af. Tiden det ville tage for vores simple password vil være:

14110^(12)/(210^9) = 70.500 sekunder eller ca 20 timer

Herfra håber jeg det er tydeligt at øger vi vores muligheder af karakterer fra små bogstaver, til store og små får vi væsentlig flere muligheder, faktisk

52^(10)/26^(10) = 1024 <---- altså 1024 gange så mange muligheder på samme længde

"Men hvad med dictionary attacks"

Samme argument, man starter med små bogstaver og arbejder sig ud fra det derefter.

Pointen fra mig er at selvom siden du har dit password på understøtter alle 100 tegn (eller hvor mange det nu bliver til), bruger de fleste simple passwords som password123. Ved at bruge alle mulighederne går der længere før du bliver ramt af en algoritme der regner den ud, som skal være væsentlig mere avanceret end førstnævnte, der formentlig ville kunne bruteforce et password på over 100 karakterer, uden det store besvær (hvis man forsøger sig med det vil man formentlig prøve med flere kerner og vil hermed sænke tiden det tager med antallet af kerner som bruges).

10
11. august 2017 kl. 10:30

Muligheden er der vel uanset om du gør brug af den eller ej ? Det du skriver handler vel også om antal tegn?

Hvis man ved at folk netop blander, så går man vel efter det? Jeg ved ikke om brute force har en eller anden sandsynlighedsmetodik over sig ?

9
10. august 2017 kl. 17:11

Det før en forskel fordi har du udelukkende små bogstaver er mulighederne for hvert tegn i din kode antallet af bogstaver i alfabetet. Bruger du store bogstaver er det hermed fordoblet. Tal tilfører 10 muligheder og specialtegn, tilfører antallet siden understøtter. Dermed er mulighederne man skal igennem for en kode med alle 4 dele er måske 3-4 gange så stor som kun med små bogstaver (hvis vi snakker brute force)

8
9. august 2017 kl. 20:17

Jeg troede at vi var enige om at hvis en hacker vil ind så kommer de ind?

  1. Nogen der kan forklare mig hvorfor det skulle gøre en forskel at et kodeord fx har blandet store og små bogstaver? Er det ikke mere antal tegn der er afgørende? "8f2Tk4Pæ8" vs "epwoiycbrmlkbqqxwhjkåxmtydsssagærcc" ?

  2. Hvorfor er biometri ikke mere udbredt?

  3. Fx Yubico produkter er det spild af penge?

7
9. august 2017 kl. 15:28

Det kan du selvfølgelig have ret i, når vi nu taler worst case scenario :-)

Sandsynligheden for at gætte det i løbet af de første 5000 forsøg på 1 sekund er dog meget lav 6,5842239*10^-11

6
9. august 2017 kl. 14:19

Din udregning er ikke korrekt, de 481 år er et udtryk for det seneste tidspunkt man vil gætte det ved ren brute force, reelt kan der være tale om, at det første forsøg er det rigtige, altså 1/5000 sek.

5
9. august 2017 kl. 12:53

Jeg plejer at lave et 8 tegns password med tilfældige tal, store og små bogstaver. For at dække indlæringsfasen, hvor passwordet er skrevet på en seddel og ekstra kompromitteret, tilføjes et let ord i begyndelsen eller slutningen. Man har så et password på 12-20 bogstaver. Et specialtegn kan selvfølgelig også tilføjes i 8 tegnsordets symmetri eller lignende. Hvis ordet anvendes på flere forskellige steder tilføjes et eller flere stedspecifikke tegn.