Opfinder af ‘best practice’ inden for passwords fortryder sine råd

Illustration: designer491/Bigstock
I stedet for at konstruere passwords, som er relativt nemme for menneskehjerner at huske, er de nødt til at være obskure, for at hackere ikke bryder dem relativt nemt.

Et password skal indeholde små og store bogstaver samt tal for at være stærkt, plejer rådet at være. Men for at kunne huske de komplicerede passwords har mange brugt lang tid på at udtænke passwords som ‘P@ssW0rd123!’ (se her bort fra det dumme ord-valg password).

Problemet er, at mange mennesker kommer til at bruge de samme teknikker til at fremstille passwords, hvilket gør det nemt for hackere at bryde. Derfor fortryder Bill Burr, tidligere leder af NIST, National Institute of Standards and Technology, at han i 2003 udgav ‘NIST Special Publication 800-63. Appendix A’ om ‘best practice’ inden for passwords, skriver the Verge.

Eller det er ikke så meget det, at han rådede folk til at fremstille passwords, som er relativt nemme at bryde, den pensionerede, 72-årige Burr fortryder.

Det er mere det, at har fået daglige brugere af computere til at blive dovne og uopfindsomme med deres passwords, som så bliver til noget a la ovenstående eksempel ‘P@ssW0rd123!’.

Det har gjort koderne nemme at forudsige og dermed nemme for hackere og algoritmer at bryde.

Læs også: Sikkerhedsforsker frigiver database med 320 millioner kodeord, du ikke skal bruge

Det var også Burr, som gav det råd at skifte password med et interval på 90 dage, som særligt større virksomheder, akademiske og statslige institutioner indførte, og som nogle af os stadig sidder og kæmper med hver tredje måned.

I stedet skal passwords være obskure og uden mening for at være svære at bryde. Eller man kan bruge passwordmanagers, som krypterer ens passwords. Men det kræver stadig et stærkt master-password.

NIST udkom med nye retningslinjer i juni, hvor udgangspunktet var at begynde helt forfra. Dem kan du læse her.

Læs også: Ond kodeordschecker advarer dig mod at genbruge dit kodeord

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Eriksen

Jeg plejer at lave et 8 tegns password med tilfældige tal, store og små bogstaver. For at dække indlæringsfasen, hvor passwordet er skrevet på en seddel og ekstra kompromitteret, tilføjes et let ord i begyndelsen eller slutningen. Man har så et password på 12-20 bogstaver. Et specialtegn kan selvfølgelig også tilføjes i 8 tegnsordets symmetri eller lignende. Hvis ordet anvendes på flere forskellige steder tilføjes et eller flere stedspecifikke tegn.

Mikael Kristensen

Jeg troede at vi var enige om at hvis en hacker vil ind så kommer de ind?

  1. Nogen der kan forklare mig hvorfor det skulle gøre en forskel at et kodeord fx har blandet store og små bogstaver? Er det ikke mere antal tegn der er afgørende? "8f2Tk4Pæ8" vs "epwoiycbrmlkbqqxwhjkåxmtydsssagærcc" ?

  2. Hvorfor er biometri ikke mere udbredt?

  3. Fx Yubico produkter er det spild af penge?

Alexander Alsing

Det før en forskel fordi har du udelukkende små bogstaver er mulighederne for hvert tegn i din kode antallet af bogstaver i alfabetet. Bruger du store bogstaver er det hermed fordoblet. Tal tilfører 10 muligheder og specialtegn, tilfører antallet siden understøtter. Dermed er mulighederne man skal igennem for en kode med alle 4 dele er måske 3-4 gange så stor som kun med små bogstaver (hvis vi snakker brute force)

Alexander Alsing

Selvfølgelig er muligheden der (hvis siden/app'en/what ever understøtter det), men hvis folk ikke bruger det, hvorfor så lave en fancy algoritme som bruger det hele ?

Hvis du nu sætter dig ind i hvordan man på en simpel måde ville bruteforce et password (dvs, prøve alle kombinationer frem til du rammer jackpot), ville den klart mest oplagte måde være at prøve sig ad med alle små bogstaver i forskellig kombination, fra passwordets minimumslængde op til hvad der understøttes som max. Hvis du kun bruger små bogstaver i din kode vil denne måde nemt kunne knække dit kodeord og vil fylde omkring 5 linjer kode.

Ved inførsel af store bogstaver har du mangedoblet mulighederne man skal igennem for at knække samme password.

Jeg vil mene at matematikken siger noget i stil med:
antal muligheder = (antal forskellige input muligheder)^(antal karakterer)

dvs for vores eksempel med små bogstaver, lad os sige der er 26 små bogstaver i alfabetet og vi laver et password på 10 karakterer:

26^(10) = 141*10^(12)

Det virker måske som mange muligheder, men ser vi på siden her bruger de som udgangspunkt 2*10^9 gæt i sekundet, hvor de har det fra skal jeg ikke kunne sige, men med processorer i GHz størrelsen virker det måske ikke helt ved siden af. Tiden det ville tage for vores simple password vil være:

14110^(12)/(210^9) = 70.500 sekunder eller ca 20 timer

Herfra håber jeg det er tydeligt at øger vi vores muligheder af karakterer fra små bogstaver, til store og små får vi væsentlig flere muligheder, faktisk

52^(10)/26^(10) = 1024 <---- altså 1024 gange så mange muligheder på samme længde

"Men hvad med dictionary attacks"

Samme argument, man starter med små bogstaver og arbejder sig ud fra det derefter.

Pointen fra mig er at selvom siden du har dit password på understøtter alle 100 tegn (eller hvor mange det nu bliver til), bruger de fleste simple passwords som password123. Ved at bruge alle mulighederne går der længere før du bliver ramt af en algoritme der regner den ud, som skal være væsentlig mere avanceret end førstnævnte, der formentlig ville kunne bruteforce et password på over 100 karakterer, uden det store besvær (hvis man forsøger sig med det vil man formentlig prøve med flere kerner og vil hermed sænke tiden det tager med antallet af kerner som bruges).

Alexander Alsing

Øhh og 26^(10) = 141*10^(12) er resultatet af at lave skole-relaterede ting, mens man er på V2.

forfra: så er det selvfølgelig 26^(10), med 2*10^9 forsøg i sekundet har vi 70000 sekunder før passwordet med den det sidste bogstav i alfabetet i alle kodens 10 felter er fundet.

Med store og små vs små:
52^(10)/26^(10) = 1024 gange så mange muligheder.

Log ind eller Opret konto for at kommentere