Særlig træt af Twitters eksponering af kodeord? Så håndterer du nok it-sikkerhed forkert

Illustration: Olivier Le Moal/Bigstock
Twitter og GitHubs gemte kodeord i klartekst - det behøver ikke være et stort problem, hvis man anvender en kodeordshusker.

Forleden kom det frem, at både Twitter og GitHub, angiveligt utilsigtet, har lagret brugeres kodeord i klartekst i logs. Ifølge it-udvikler Poul-Henning Kamp gør mange andre organisationer noget tilsvarende. Sagen er en reminder om, hvorfor det er en dårlig idé at genbruge kodeord på tværs af tjenester.

Genanvendelse af kodeord kan ellers virke besnærende, fordi det det kan være svært at huske mange forskellige login-oplysninger. Men genbrug af kodeord betyder også, at en kompromittering hos en tjeneste kan give uvedkommende adgang til andre tjenester.

For at komme udover den situation anvender nogle mennesker varianter af det samme kodeord, hvor eksempelvis en del af den pågældende tjenestes url bliver koblet på. Så kodeordet 'giraf' bliver til 'giraftwitter'. Altså et unikt kodeord, der er til at huske, men det er ikke nødvendigvis smart.

»En tidligere strategi har været, at man bare varierede lidt fra website til website, det ved man også er en skidt praksis,« siger kodeords-specialist og CEO i it-sikkerhedsvirksomheden Improsec Jakob Heidelberg.

Forklaringen er, at en angriber kan have for let ved at gætte mønsteret i kodeordsvariationen, også selvom den er lidt mere kompliceret en giraf-eksemplet fra før, og dermed opnå adgang til andre tjenester.

Jakob Heidelberg er CEO i it-sikkerhedsvirksomheden ImproSec. Illustration: Privatfoto

Brug password-managers

»Den eneste løsning er at bruge password-managers af den ene og den anden art,« siger Heidelberg.

Passwords-managers eller kodeordshuskere er programmer, der kan holde styr på en masse forskellige login-oplysninger til diverse tjenester.

Ofte kan disse programmer generere lange og mere eller mindre tilfældige tekst-strenge, som kan anvendes som kodeord til tjenester som Facebook, Twitter og LinkedIN.

Kodeordshuskerne fås ofte som plugin til forskellige browsere og kan auto-udfylde feltet på kodeord på den pågældende tjeneste.

Brugeren behøver altså ikke gå rundt og huske på kodeordet eller anstrenge sig med at taste den lange streng rigtigt ind.

En anden pointe med en kodeordshusker, fortæller Jakob Heidelberg, er, at flere af dem gør det muligt at dele visse kodeord med eksempelvis sine familiemedlemmer.

På den måde er der en mekanisme, så familien kan få adgang til relevante konti i tilfælde af dødsfald.

Ikke kodeordshusker til det hele

Kodeordshuskere kan ofte også synkronisere via skyen, så de lange tekst-strenge både kan anvendes fra mobiltelefonen, laptoppen og desktoppen.

Selv anvender Jakob Heidelberg dog ikke kodeordshuskere til det hele. Blandt andet fordi, han af sikkerhedshensyn ikke har lyst til at alle hans login-oplysninger skal sende via skyen, hvor brugeren ikke har kontrol med, hvad der sker med oplysningerne.

»Det er jo en risikovurdering, man må lave, afhængig af, hvad man virkelig står med - om man vil cloud-integrere eller holde databasen offline,« siger han.

Jakob Heidelberg har fem-seks kodeord, som ikke har andre steder end i hovedet. Blandt andet til NemID, og det han kalder sine primære sociale medieprofiler. Derudover er der kodeordet, der låser op for kodeordshuskeren, som det er en god idé at passe godt på.

Endeligt er der en særlig tjeneste, hvor login også bør beskyttes omhyggeligt: Mail.

Som regel er det nemlig muligt at nulstille kodeordet til diverse andre tjenester via mail. Får uvedkommende adgang til et offers mail, så kan de i udgangspunktet også få adgang til diverse andre tjenester. Så pas særlig godt på mail-login'et.

2-faktor og et heads up

Udover en kodeordshusker til det meste, men måske ikke til det hele, så påpeger Jakob Heidelberg, at det - naturligvis - en god idé at anvende 2-faktor-autentifikation alle de steder, det kan lade sig gøre.

Altså en autentifikationsløsning, hvor et brugernavn og et kodeord i sig selv ikke er nok til at opnå adgang til en tjeneste. Engangskoderne fra NemID's nøglekort er et eksempel på 2-faktor-autentifikation.

Flere tjenester har implementeret en løsning, hvor brugeren får tilsendt en engangskode i en app, på sms eller på mail i forbindelse med login. Det er i udgangspunktet lidt mindre sikkert end løsningen med et pap-nøglekort, da kortet er fysisk adskilt fra den elektroniske enhed, der jo kan hackes.

Men uanset om engangskoden kommer via en app, mail eller sms, så er det en betydelig forbedring af autentifikations-sikkerheden sammenlignet med login alene ved brugernavn og adgangskode.

Udover brugen af kodeords-huskere og 2-faktor-autentifikation, så anbefaler Jakob Heidelberg at tilmelde sin mail-adresse nogle af de breach-tjenester, der findes på nettet. Det kan eksempelvis være BreachAlarm eller sikkerhedsmanden Troy Hunts 'Have I Been Pwned'.

Hvis ens loginoplysninger så dukker op i et datalæk, som tjenester som førnævnte får kendskab til, så modtager man automatisk en mail om, at den er gal. Og så er tanken, man kan reagere ved at nulstille sin konto, skifte kodeord relevante steder og så fremdeles.

Og før eller siden havner de fleste kodeord brugt i cloud-sammenhæng i et datalæk, mener Jakob Heidelberg.

»Det skulle ikke undre mig, om der er 2-3 større tjenester derude, som er kompromitteret, og som enten ikke har sagt det eller ikke ved det,« siger han og tilføjer:

»Mit udgangspunkt i forhold til cloud-tjenester er, at på et eller andet tidspunkt, så bliver de kompromitterede, og så er data potentielt tilgængelige for enhver. Og derfor vil jeg ikke have alt liggende der, slet ikke i ukrypteret form, kun det jeg kan tåle at miste«.

Har Version2’s læsere flere idéer til, hvordan brugere nemt og sikkert kan logge ind i virvaret af on- og offline løsninger, så hører vi hellere end gerne om det i debatten herunder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Storgaard Dieu

Jeg har gået og tænkt over hvorfor man ikke bruger en Password-Based Key Derivation Function i klienten. Hr. og Fru. Danmark kommer ikke til at bruge en password manager i nærmeste fremtid. Går der noget galt er det alligevel computerens skyld (set i deres øjne).

Hvis man bruger PBKDF2 (Argon2 eller hvad der er anbefalet nu) i rent javascript (i fx en browser) i frontenden og sender den afledte nøgle med i stedet for adgangskoden, så vil ens "rigtige" adgangskode ikke komme til at fremgå i nogle logs. Der hvor man sender den afledte nøgle hen skal naturligvis stadig behandle det man sender over som en adgangskode.

Det komplicerer naturligvis også tingene når klienten er browser, android app, ios app, desktop app, tv-app og hvor man nu ellers kan distribuerer sin klient hen. Men så længe man bruger en standard algoritme fra et gennemtestet bibliotek burde det være understøttet på alle brugbare platforme/programmeringssprog.

Er det ekstra lag af komplikation så det værd? At man kan sige til ens brugere at i det mindste skal i kun skifte jeres adgangskode et sted, da vi har taget forbehold for evt. datalæk?

Sune Marcher

Jeg har gået og tænkt over hvorfor man ikke bruger en Password-Based Key Derivation Function i klienten. Hr. og Fru. Danmark kommer ikke til at bruge en password manager i nærmeste fremtid.


Eftersom du (retteligt) skriver at menigmand ikke komme til at bruge en password manager, går jeg ud fra du mener at enkelte sites skal implementere client-side PBKDF2.

Dette ser jeg ikke den store værdi af - client salt kommer enten til at være statisk for sitet, eller blive gemt i en database somewhere... så, jo, du gør bruteforcing en del langsommere, men det bliver ikke umuligt at finde frem til source passphrase.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder