Sikkerhedsforsker frigiver database med 320 millioner kodeord, du ikke skal bruge

Sikkerhedseksperten bag ‘Have I been pwned’ vil gøre det muligt for organisationer, at forbyde brug af kodeord, der tidligere er blevet lækket.

USA’s National Institute of Standards and Technology (NIST) opdaterede for nylig deres anbefalinger til it-sikkerhed med en passus, der fraråder at lade brugere anvende kodeord, som er kompromitterede i historiske datalæk.

Anbefalingen er prisværdig - om ikke andet fordi mange brugere har tendens til at genbruge det samme kodeord på et utal af platforme. Og fordi mange stadig vælger strenge som ‘1234password’ som adgangsnøgle.

Læs også: Tjek selv styrken af dine kodeord med Hashcat

Sikkerhedsreglen leder dog også uundgåeligt til spørgsmålet om, hvordan tjekket skal udføres i praksis. Det har sikkerhedseksperten Troy Hunt nu leveret en løsning på.

Hunt, der står bag tjenesten ‘Have I been pwned’, har samlet en database med 320 millioner kodeord, som er blevet lækket fra store sikkerhedsbrud på tjenester som LinkedIn, Adobe og Yahoo.

E-mail som kodeord

I en blogpost forklarer Hunt, at han ikke vil lægge lækket data ud i klar tekst – blandt andet fordi nogle kodeord indeholder personlig info som børnenavne og fødselsdage eller endda e-mailadresser. Ved Adobe-lækket var den mest almindelige kodeordsreminder ‘email’, bemærker Hunt.

Af samme grund deles kodeord kun i form af deres respektive SHA1-hashværdi.

Læs også: Flere politikeres kodeord til blandt andet Dropbox lagt tilgængelige på internettet

Dette kan ifølge Hunt sætte grænser for brugbarhed, men det er stadig fuldt ud muligt for organisationer at teste brugernes kodeord mod databasens indhold og på den måde håndhæve anbefalingen fra NIST.

Ekstremt mange gengangere

Og det er nødvendigt, understreger Troy Hunts dataanalyse. Det første datasæt i databasen rummede 805 millioner rækker. Af disse talte blot 197 millioner unikke kodeord.

‘Tænk over det et øjeblik,’ skriver Hunt.

Læs også: Kendt sikkerhedsmand frigiver 1,4 mia. lækkede dataposter i analyseøjemed

‘75 pct. af kodeordene i det ene datasæt havde været brugt mere end én gang- Det er virkelig vigtigt, for det giver form til omfanget af problemet, vi står overfor.’

Pædagogisk værktøj

Hunt forestiller sig tre grundlæggende brugsscenarier, hvor tjenester og organisationer kan downloade og bruge kodeordsdatabasen: Når en bruger opretter sig i systemet, når en bruger opdaterer sin kode, og når en bruger logger ind.

Hunt indrømmer, at han har været loren ved at tilbyde et online-værktøj til at søge i databasen. For det kan ikke anbefales, at du bruger en tredjepartstjeneste til at undersøge, om et kodeord, du har i brug, er blevet lækket.

Læs også: Drop de komplekse adgangskodekrav og styrk virksomhedens forsvar

Når sikkerhedseksperten alligevel har lavet søgemaskinen, er det, så personer, der tidligere har været sløsede med valg af kodeord, kan verificere, at et givent kodeord er lækket. Og så mennesker med mindre tech-kyndige familiemedlemmer har et pædagogisk værktøj, der viser, hvorfor ‘p@ssw0rd’ ikke er et godt kodeord til netbanken.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere