Pas på kodeordskløften mellem 'godt nok' og 'ikke godt nok'
Hvornår er et kodeord godt nok? Det er ikke så let at svare på, som man skulle tro, for det afhænger af, hvor svært det er at knække det, og det er i virkeligheden mere end blot sammensætningen af tal og bogstaver. Det er i hvert fald én af pointerne i en analyse, som forskere fra Microsoft og Carleton University har lavet.
De har set på kodeordsproblemet fra systemadministratorens synspunkt, og det rejser et centralt problem i forhold til kodeordsstyrke. Et kodeord kan nemlig være 'godt nok', men samtidig 'ikke godt nok'.
Det handler om, hvorvidt kodeordet kan modstå henholdsvis et online- og et offline-angreb. Onlineangreb kan eksempelvis være forsøg på login via web, mens offline vil være de tilfælde, hvor hackere har fået fat i passwordfilen.
Problemet med regler for, hvordan brugerne skal sammensætte kodeord, er, at brugerne kan følge reglerne og skabe kodeord, der er stærke nok til at modstå onlineangrebet, men ikke stærke nok til at modstå offlineangrebet.
Dermed falder kodeordet i en kløft mellem de to scenarier, hvor der kan være størrelsesordners forskel på, hvor mange forsøg kodeordet skal kunne modstå. Ifølge forskerne kan et kodeord være sikkert, hvis det kan modstå 10⁶ forsøg inden for en rimelig tidsperiode, mens det skal kunne modstå 10¹⁴ forsøg offline.
Alle forsøg på at forbedre styrken af et kodeord, der allerede har passeret den første tærskel, men ikke er tilstrækkelig til at passere den anden tærskel, er altså en spildt indsats.
10 procent svage kodeord kan være nok
Tilsvarende bør man også overveje, hvornår éns systemer kan forventes at være kompromitteret, hvis en vis procentdel af brugerkontoerne er knækket. Selv hvis blot 10 procent af kontiene er knækket, så kan det være nok til at give adgang til nye angrebsvektorer. Derfor skal man vælge metoder til sikring af login, som forhindrer, at eksempelvis 10 procent af brugerne kunne vælge kodeord, der kunne knækkes i et onlineangreb.
Dermed ikke sagt, at den enkelte bruger ikke skal sørge for at bruge så sikkert et kodeord som muligt. Microsofts analyse handler udelukkende om, hvordan systemadministratoren bør forholde sig til kodeordsstyrke.
Brugeren kan imidlertid ikke vide, hvordan sikkerheden er i systemet. De færreste webtjenester dokumenter, hvordan de opbevarer kodeord. Derfor er brugerens bedste træk at vælge så stærkt et kodeord som muligt og helst kombinere det med tofaktor-autentifikation, skriver sikkerhedsekspert Mark Stockley fra Sophos i et blogindlæg.
Microsoft analyse handler om, hvordan systemadministratoren sikrer sig, at den samlede flok af brugere benytter kodeord, der ikke bringer systemet i fare.
Ideelt set ville alle kodeord være stærke nok til også at modstå månedlange forsøg på at knække passwordfilen med tusindvis af grafikprocessorer på opgaven. Men en tidligere undersøgelse har vist, at selv med de mest almindelige strikse regler for, hvordan kodeord sammensættes, så vil der være 10 procent, der er betydeligt lettere at gætte, end hvis der var tale om ægte tilfældige kodeord efter samme regler.
Normalt taler man om entropi for kodeord, der er et udtryk for længde og antallet af kombinationsmuligheder. Brug af både store og små bogstaver og tal giver flere kombinationsmuligheder pr. tegn end blot bogstaver uden forskel på store og små bogstaver.
Men i praksis kan brugerne overholde reglerne og alligevel lave kodeord, der ikke er særlig sikre. Mange kodeordsstyrkemålere ville sige god for 'Password1Password1'. Men når man skal knække kodeord, så er den bedste strategi at afprøve de kombinationer, der er mest sandsynlige for et menneske at finde på og huske, end rent tilfældigt sammensatte kodeord.
Forsvar med blokering og hashing
I stedet bør systemadministratorer forsøge at sikre loginprocesserne på anden vis. Eksempelvis bør man implementere en måde, der sætter grænser for onlineforsøg, så det eksempelvis ikke er muligt for en bruger at indtaste et forkert kodeord mere end 100 gange i løbet af en måned. Man kan også sætte grænser for antal forsøg fra bestemte IP-adresser.
Tjek af kodeordenes styrke kan med fordel gøres ved at sortliste kodeord, der optræder på kendte lister over kompromitterede kodeord, snarere end generiske regler. Hvis man vil bruge en styrkemåler, til at hjælpe brugerne med at vurdere styrken, kan man bruge Dropbox' zxcvbn, der både tjekker for mønstre og for 30.000 kendte kodeord.
Mod offlineangreb er det bedste forsvar at forstærke hashingen af kodeordene. Man kan eksempelvis gennemløbe hashingen iterativt flere tusinde gange med forskellige salte. Det koster lidt ekstra at validere kodeordene, men gør det meget vanskeligere for hackere at knække kodeordsfilen.
Ifølge forskerne skal man som systemadministrator være bevidst om, at det ikke er gratis at øge kravene til kodeordenes styrke. Der er ingen undersøgelser, der viser, at øgede krav til sammensætningen af kodeord giver en betydelig forbedring af sikkerheden. Problemet er, at kodeordene altså ikke blot skal være stærke nok til at modstå et rimeligt forsøg på at knække dem, men også kunne modstå, at 1.000 kraftige grafikprocessorer arbejder på kodeordsfilen i månedsvis uden at ramme rigtigt på mere end 10 procent af brugerkontoerne.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
