Det mest udbredte kodeord i 2014 var igen “123456”

Det har ofte undret mig hvordan disse firma'er skaffer sig adgang til denne information, specielt hvis kodeordene (selvfølgelig) ikke er gemt i plain text nogen steder overhovedet. Nogen der kan forklare den slags?

Rådet om at bruge en kombination af bogstaver og tal er ikke specielt godt. De fleste mennesker, der bliver mødt med krav om cifre i kodeordet tilføjer blot et ciffer sidst i kodeordet, og når de bliver bedt om at skifte kodeordet, tæller det bare et op i cifret (password1, password2, osv.). Alternativt erstatter de et eller flere bogstaver med cifre (f.eks. 5e1fie). Begge dele kan ordbogsangreb uden de store problemer modificeres til at klare: De prøver blot alle cifre efter ordet og prøver de mest almindelige substitutioner: S til 5, l eller i til 1, O til 0, E til 3, T til 7 osv. Det håndterer også krav om specialtegn, hvor folk ofte substituerer S med $ eller a med @. Der er garanteret et pænt antal mennesker med kodeordet "P@55w0rd" eller "P@$$w0rd", som føler sig eddersmarte.

Endvidere giver en udvidelse i antallet af brugte tegn kun et lille antal ekstra bit, mens et par ekstra bogstaver (selv om det kun er små bogstaver) giver 9 bit. Så det bedste råd er at bruge mange tegn, og undgå ord eller sekvenser, der kan findes med ordbogsangreb. Sæt f.eks. 2-3 ord, der sjældent forekommer sammen, efter hinanden, f.eks. "FrygtAppelsin". Bland gerne flere sprog, f.eks. "PferdLandgang", da ordbogssøgninger sjældent er flersprogede.

Desværre insisterer en del websteder på, at der absolut SKAL være både store og små bogstaver, cifre og specialtegn i kodeord. Det gør dem svære at huske for mennesker og i reglen kun marginalt sikrere mod angreb.

En tegneserie siger mere end tusind ord: http://xkcd.com/936/

Firmaerne laver deres lister på baggrund af lækkede password-tabeller. Det er altså kun en oversigt over passwords fra sites, der gemmer i plain text og har en generelt dårligt sikkerhed, så tabellen kunne hackes.

Desværre insisterer en del websteder på, at der absolut SKAL være både store og små bogstaver, cifre og specialtegn i kodeord. Det gør dem svære at huske for mennesker og i reglen kun marginalt sikrere mod angreb.

Man kan jo vælge et specialtegn til at adskille ord og bruge talsubstitution af bestemte bogstaver. Så kunne man f.eks ende med "Pferd%L4ndg4ng", hvis webstedet insisterer på tal og specialtegn. Selv øger jeg passwordlængden med 10 ved altid at starte med 5 mellemrum og 5 backspace ;-)

Ah ja men det jo heller ikke så svært at få folks passwords, så hvorfor bekymre sig? (ironi kan være brugt)

Her spørger de folk på gaden hvad deres password er:

what is your password?

Jeg har følgende tommelfingerregler : Generer et password udfra udvalgte bogstaver i dit yndlingsrim, sang eller digt. beton med upper/lower case og brug gerne kontrol karakterer - men hold dig fra æøå hvis du skal bruge det på en udenlandsk computer. Eksempelremse : "Ole sad på en knold og sang" kunne blive til passwordet "Osp1Kos:)" - stort K - knolden var stor ...

Når man så har forfattet sit password skriver man det på en seddel og viser den til en kollega i 30 sekunder.

Kan kollegaen huske passwordet efter 5 minutter laves det om ...

Efter min bedste overbevisning er passwords af denn karakter meget robuste og behøver i princippet ikke at skiftes så tit.

Skulle det af en eller anden grund være påkrævet kan man jo altid efterstille et løbenummer...

Passwords af typen Ringo2 vil man kunne huske til sin dødsdag efter at have hørt eller set det i blot 10 millisekunder.

Så på bundlinien står træk lexikalsk mening ud af passwordet, men hold en generator til passwordet i hovedet - så kan du have de ledeste og mest snadskede passwords - og have dem for dig selv - ingen behov for små gule sedler o.s.v.

der er ingen forbindelse mellem folks vaner og et tilfældigt sites sikkerhedspolitik. - og folk har slemt dårlige vaner mht. passwords ... desværre ...

Undlad at bruge det samme kodeord eller brugernavn til flere hjemmesider.

Helt ærligt, jeg har oprettet logins på de først 1000 sider snart. Det er det sygeste råd jeg nogensinde har hørt.

Det er også en uskik når en ubetydelig hjemmeside kræver Fort Knox passwords. Herunder medregner jeg web shops og jeg tillader i øvrigt aldrig webshops at gemme mit kreditkort.

Jeg har et standard password som jeg bruger til disse sider, og så bruger jeg sikre passwords hvor det betyder noget.

Som opfølgning på Kjelds udmelding; så er det helt håbløst, for almindelige mennesker at ha' unikke adgangskoder til alle sites. Jeg har i årevis anbefalet alle omkring mig, at have tre adgangskoder til hver gruppe af profiler/sites/sikkerhedsniveau. Ikke flere; ikke færre.

Webpasswordet (Niveau 1 - ingen kan komme tilbage og skade mig på nogen måde):

Jeg har, ligesom så mange andre inkl. Kjeld, flere hundrede profiler rundt omkring på nettet (forums, wiki, version2 osv osv), som for det meste er knyttet op til min hotmail(spam konto) og med nøjagtig samme adgangskode brugt hver eneste gang. Sites som ikke kan skade mig (inkl. facebook og lign.)

Det personligt password (Niveau 2 - jeg ville tude længe og efterfølgende lang tid på logistik) Dette bruger jeg til min private GMail, pokersites og enkelte spille platforme (Steam) som har mit kreditkort som betalingsmiddel.

Identitets passwordet: (Niveau 3 - Med dette kan du tømme min bank, ændre mit navn og sende mails til min læge) Dette bruges til Borger.dk, banken, nets osv.

Jeg kunne selvfølgelig bruge diverse adgangskode generatore (browser plugins) som kræver master login osv. Men hva' så når jeg er hos mine forældre, på kærestens computer, eller min computer får en teglsten i hovedet? Så skal jeg til at hente min backup ud for overhovedet at kunne logge ind? Ubrugeligt i praktis.

Re: Tommelfingerregler

En tegneserie siger mere end tusind ord: http://xkcd.com/936/

Kan godt være den tidsmæssigt kan tage længere tid at knække for en computer. Men den er så til gengæld væsentligt nemmere at huske ved shoulder-surfing eller fiske ud af packetsniffing.

Jeg har i årevis anbefalet alle omkring mig, at have tre adgangskoder til hver gruppe af profiler/sites/sikkerhedsniveau.

Min grundlæggende pasordsfilosofi ligger ret tæt på Christians, bortset fra, at jeg for niveau 2 kan skrive pasordet ned, uden at andre kan forstå det.

Niveau 1: f.eks. ing.dk eller version2 er fuldstændig ligegyldigt. Gætter andre mit pasord og skriver injurier i mit navn, bliver de slettet af admin, jeg får en email om problemet og får efterfølgende et nyt pasord.

Jeg har i små 30 år haft 8 præ- og postfixes og 6 standardpasord, som jeg husker til niveau 2.

Jeg kan derfor skrive mit pasord som f.eks. "gmail/424" ( 4=a2Nu# og pwd2=krO)Pf& ) som kunne være blevet til "a2Nu#krO)Pf&a2Nu#" eller "427" som kunne være blevet til "a2Nu#krO)Pf!fAr3f#".

For mig er det uhyre enkelt at bruge.