Sikkerhedsspecialist dumper måling af password-styrke på hjemmesider

22. august 2016 kl. 12:2310
Det står sløjt til med kvaliteten af web-værktøjer, der rater styrken af de kodeord, brugere vælger.
person
/jm redaktion@version2.dk
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
/jm redaktion@version2.dk


I forbindelse med oprettelsen af en ny konto anvender flere hjemmesider værktøjer, der fortæller brugeren, om det kodeord, han eller hun er ved at vælge, er godt eller dårligt. Pointen er at undgå, at brugerne vælger for svage kodeord. Men værktøjerne er ifølge Mark Stockley fra Compound Eye ikke gode.

Det fortæller The Register.

Stockley har undersøgt dueligheden af fem udbredte programmer til vurdering af kodeordsstyrken. Og de forhindrer ikke dårlige kodeord i at blive anvendt, konkluderer han.

»Du kan ikke stole på kodeord-styrke-målere på hjemmesider,« fortæller Stockley i et indlæg på Naked Security.

Artiklen fortsætter efter annoncen

»Kodeordene, som jeg brugte i testen, er alle, bevidst, fuldstændigt forfærdelige ... de er valgt ud fra en liste med de 10.000 mest almindelige kodeord og har karakteristika, som jeg tænkte, kodeordsmålerne nok ville overvurdere.«

Stockley påpeger, at kodeordsmålerne ser på kompleksiteten af karakterer, men værktøjerne fejler, når det gælder om at spotte kombinationer, der uden videre kan gættes, såsom populære kodeord og klichéfyldte kombinationer.

Således vurderede flere af målerne, at ‘abc123’, ‘trustno1’, ‘ncc1701’ (registreringsnummeret på USS Enterprise i Star Trek-universet), 'iloveyou!' og 'primetime21' var acceptable.

Og for at bekræfte sin antagelse om, at kodeordene er for dårlige, satte Stockley dem op mod open source-kodeordsknækkeren John the Ripper. De blev knækket stort set omgående, beretter han.

Emner
10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
Jan Nøhr Pedersen
23. august 2016 kl. 10:39

Jeg synes at det er et grundlæggende problem, at login systemer tillader brute force forsøg.

Det burde være sådan, at login system afviser flere på hinanden følgende forkerte kodeord.

Der er jo mange måder at sikre et system mod brute force. F. eks.

  • eksponentiel stigende pauser
  • anvendelse af 2 faktor login
  • deaktivering af kodeordet efter et antal forsøg, med efterfølgende mail med nyt midlertidigt kodeord.
  • o.s.v
  • more_vert
    • insert_linkKopier link
10
Toke Ivø
23. august 2016 kl. 11:14

Der er sjældent tale om at brute force er "tilladt". Der sker dog, at "en person" får fat på et database/website dump. Herefter er det bare at teste løs, og se hvordan "per@org.dk"s kodeord endte med at blive til "abf783-abbff3882-aacb21". Dette kan gøres via brute force metoden (test 1: "password123" + website regler = xxx, test 2: "passwordPer" + website regler = yyy, osv... ) indtil man rammer det ønskede resultat. Herefter logger man bare ind i systemet på 1 forsøg. Selv hvis brugeren har skiftet password i mellemtiden, prøver man bare en af de 4000 andre brugere man nu har adgang til.

Sikkerheden handler om meget andet end bare systemets login procedure. (Men det kan sagtens være hér problemet starter)

  • more_vert
    • insert_linkKopier link
6
Martin Sørensen
22. august 2016 kl. 13:29

Jeg har oplevet noget lignende for nyligt, dog den anden vej.

Jeg genererede et tilfældigt 24 karakter langt alfanumerisk password til en ny bruger på en hjemmeside, men det ville den ikke acceptere da det åbenbart var for simpelt. Det indeholdt en tilfældig blanding af store/små bogstaver samt tal, så man skulle tro det var fint. Jeg prøvede med flere forskellige, men det var aldrig godt. Jeg tror at længden forvirrede den. Jeg skrev så blot manuelt et simpelt 8 cifret password med 6 små bogstaver, ét stort samt ét tal. Det kunne den forholde sig til og det var åbenbart godt nok. Derefter kunne jeg gå ind og ændre det til et 24 karakters tilfældigt genereret password som jeg ville have haft fra starten..

Nogle sider kan slet ikke håndtere så lange passwords og helt slemt er det når de umiddelbart accepterer det lange password, men hvor man så ikke efterfølgende kan bruge det til at logge ind fordi det åbenbart bliver 'klippet' et sted i systemet.

  • more_vert
    • insert_linkKopier link
5
Casper Olsen
22. august 2016 kl. 13:09

Jeg forstår ikke hvordan i kan glemme/overse det faktum at han har udvalg de fem første der kom frem på google når han søgte på ‘jQuery strength meter’, plus zxcvbn. Han tester altså 6 systemer og zxcvbn er den eneste, som flagger alle som "Very weak".

The ringer, zxcvbn, identified the five passwords as very weak but none of the first five password strength meters I plucked out of Google did.

  • more_vert
    • insert_linkKopier link
4
Bent Jensen
22. august 2016 kl. 13:06

Som ikke er komprimereret ved indbrud, og har en tilpas antal ciffer og kompleksitet , er vel lige så godt som et nyt ? Faren ved at skulle skiftet tit, er jo at man kan glemme det, og der for er mere tilskyndet til at skrive det ned, eller lave det simpel, så det kan huskes.

Det er mere vigtigt ikke at genbruge det på tværs af platforme og applikationer. Så må de forskellige programmer med 2 factor, og godkendelse (afvisning) af nye enheder stå for den mere avanceret sikkerhed.

En password husker, igen hvis den skal være i skyen kan ikke bruges, da det igen som med genbrug af password, er at lægge alle æggene i en kurv. Hvis den igen så kun findes lokal, er den ikke særligt anvendeligt hvis man har flere enheder.

Så som artikkelen skriver, password er noget "svært noget".

Men personligt er jeg mere øm over min mail konto, end nem id. Her findes der adgang til de fleste af mine ting. Hvis man beder om at få password tilsendt, så her køre jeg med max sikkerhed. Så det er min "kurv", selv om jeg har lavet et par stykker, også for at udskille privat liv og arbejde.

  • more_vert
    • insert_linkKopier link
3
Peter Hansen
22. august 2016 kl. 13:05

Jeg tror at pointen med artiklen er at hvis et password kan knækkes af John The Ripper på mindre end et minut, så er passwordet ikke godt nok...

Det siger sig selv at de øvrige sikkerhedsforhold som hjemmesideejeren har ansvaret for selvfølgelig også skal være i orden.

  • more_vert
    • insert_linkKopier link
1
Michael Jensen
22. august 2016 kl. 12:47

Hvad er et godt kodeord? Hvad er en god baseline for gode kodeord på en given hjemmeside/webtjeneste?

Hvem vurderer hvad der er "godt nok" til en given hjemmeside? - brugerne? websitets bagmænd? Et hold forskere?

Er det "godt" hvis websitet har en god og anerkendt password-måler, der sikrer virkelig gode og komplekse passwords, hvis sitet lagrer dem i klartekst, transmitterer dem uden ssl/tls, og måske har forskellige sårbarheder, der gør at angribere kan trække koderne ud af systemet?

Er det "godt" med en solid og kompleks kode, hvis brugerne har anvendt samme password andre steder?

Er det "okay" med slappe passwords og password-målere, hvis sitet har to-faktor-auth, fornuftig IPS mm.?

Det er en kompleks størrelse efterhånden, det der med passwords.

  • more_vert
    • insert_linkKopier link