Sikkerhedsforsker frigiver database med 320 millioner kodeord, du ikke skal bruge
USA’s National Institute of Standards and Technology (NIST) opdaterede for nylig deres anbefalinger til it-sikkerhed med en passus, der fraråder at lade brugere anvende kodeord, som er kompromitterede i historiske datalæk.
Anbefalingen er prisværdig - om ikke andet fordi mange brugere har tendens til at genbruge det samme kodeord på et utal af platforme. Og fordi mange stadig vælger strenge som ‘1234password’ som adgangsnøgle.
Sikkerhedsreglen leder dog også uundgåeligt til spørgsmålet om, hvordan tjekket skal udføres i praksis. Det har sikkerhedseksperten Troy Hunt nu leveret en løsning på.
Hunt, der står bag tjenesten ‘Have I been pwned’, har samlet en database med 320 millioner kodeord, som er blevet lækket fra store sikkerhedsbrud på tjenester som LinkedIn, Adobe og Yahoo.
E-mail som kodeord
I en blogpost forklarer Hunt, at han ikke vil lægge lækket data ud i klar tekst – blandt andet fordi nogle kodeord indeholder personlig info som børnenavne og fødselsdage eller endda e-mailadresser. Ved Adobe-lækket var den mest almindelige kodeordsreminder ‘email’, bemærker Hunt.
Af samme grund deles kodeord kun i form af deres respektive SHA1-hashværdi.
Dette kan ifølge Hunt sætte grænser for brugbarhed, men det er stadig fuldt ud muligt for organisationer at teste brugernes kodeord mod databasens indhold og på den måde håndhæve anbefalingen fra NIST.
Ekstremt mange gengangere
Og det er nødvendigt, understreger Troy Hunts dataanalyse. Det første datasæt i databasen rummede 805 millioner rækker. Af disse talte blot 197 millioner unikke kodeord.
‘Tænk over det et øjeblik,’ skriver Hunt.
‘75 pct. af kodeordene i det ene datasæt havde været brugt mere end én gang- Det er virkelig vigtigt, for det giver form til omfanget af problemet, vi står overfor.’
Pædagogisk værktøj
Hunt forestiller sig tre grundlæggende brugsscenarier, hvor tjenester og organisationer kan downloade og bruge kodeordsdatabasen: Når en bruger opretter sig i systemet, når en bruger opdaterer sin kode, og når en bruger logger ind.
Hunt indrømmer, at han har været loren ved at tilbyde et online-værktøj til at søge i databasen. For det kan ikke anbefales, at du bruger en tredjepartstjeneste til at undersøge, om et kodeord, du har i brug, er blevet lækket.
Når sikkerhedseksperten alligevel har lavet søgemaskinen, er det, så personer, der tidligere har været sløsede med valg af kodeord, kan verificere, at et givent kodeord er lækket. Og så mennesker med mindre tech-kyndige familiemedlemmer har et pædagogisk værktøj, der viser, hvorfor ‘p@ssw0rd’ ikke er et godt kodeord til netbanken.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
