Syv genveje til mere sikre kodeord

En god adgangskode har én stor svaghed: Den er umulig at huske for de fleste brugere. Her er syv tricks til at løse det problem.

Kan du huske en vilkårlig kombination af mindst 12 store og små bogstaver, tal og specialtegn? Hvis du kan, så er du den idéelle it-bruger.

En god adgangskode skal være stort set umulig at angribe ud fra en ordbogsliste over sandsynlige kodeord. Det betyder imidlertid, at gode adgangskoder er svære at huske for de fleste brugere.

De bedste adgangskoder er tilfældige kombinationer af tegn, men hvis man som bruger skal huske flere af disse koder til flere forskellige systemer, hvor de endda ofte skal udskiftes regelmæssigt, så begynder mange at tage gule huskesedler i brug.

Det kan undgås ved at bruge en række tricks, der giver forholdsvis gode adgangskoder, som er lettere at huske.

Symantecs Ben Nahorney har på selskabets Security Response weblog indsamlet syv metoder, der kan kombineres til at skabe gode kodeord.

Tegnerstatning

Erstat almindelige bogstaver med tegn, der ligner bogstaverne. 4 i stedet for A, | i stedet for l, + i stedet for t og så videre. I sig selv er metoden ikke skudsikker. De lister over almindelige kodeord, som først bliver afprøvet i et forsøg på at gætte koden, indeholder også almindelige varianter af ordene. Derfor er 'P455w0rD' ikke meget sikrere end 'password'.

Indsætning

Indsæt for eksempel en kombination af cifre i din adgangskode, som du kan huske. Undgå fødselsdage og andre oplysninger, der er forholdsvis indlysende for andre at gætte. I stedet kan du gøre som Fry fra Futurama og bruge prisen på din favoritpizza og en sodavand fra dit lokale pizzaria.

Fraser

Basér din adgangskode på et citat eller en sætning, som du kan huske. Hvis det er et citat fra en bog, film, sang eller teaterstykke, er den som regel lettere at huske, end hvis du selv konstruerer den. 'Sk4|dUh@50JaIRul|3N?' er et eksempel på et citat fra tv i kombination med erstatningsmetoden.

Første bogstav

I stedet for at tage en hel sætning, så kan du nøjes med forbogstaverne i hvert ord i sætningen. Det gør det sværere at gætte adgangskoden ud fra kombinationer af almindelige ord. Sætningen 'I'm a Barbie Girl in a Barbie world' bliver således til 'IaBGiaBw', som så yderligere kan forbedres ved hjælp af erstatning og indsættelse til eksempelvis 'I4BG59|4bW', hvor indsættelsen af 59 refererer til årstallet for lanceringen af Barbie-dukken.

Andre sprog

Danskere har en fordel, når vi skal skabe gode adgangskoder, fordi vi kan bruge danske ord. Det hjælper selvfølgelig ikke, hvis hackeren ved, at der kan være brugt danske ord. Selvom fremmedsprog er nyttigt, er de derfor mest sikre, hvis man blander dem med andre sprog. Og det behøver ikke kun være sprog, man taler flydende. Det kan også være SMS-sprog eller andre sprogfinurligheder.

Positiv bekræftelse

Ligesom citater fra litteratur kan være lettere at huske, så kan man også bruge sætninger, som giver en positiv bekræftelse, hver gang man skal huske dem og indtaste dem. Mens flere af de mest almindelige filmcitater med garanti findes på ordbogslisterne, som hackerne forsøger sig med, så er sandsynligheden langt mindre for en sætning, du selv har skabt, som har personlig betydning. '5kr|VP0sI+|V3d3Ba+|nD|æG' kunne være din nye adgangskode til Version2. Hvis du skal følge terapeuternes råd, så skal du altid vælge en positiv sætning.

Brug siden som huskeseddel

Udformningen af en side kan i sig selv bruges til at hjælpe med at huske en adgangskode. Hvis du opstiller et system, hvor du eksempelvis tager de første bogstaver af den dominerende farve på siden, den geometriske form af logoet og det sidste stykke tekst, så har du en opskrift, du kan bruge på flere sider. Version2 er eksempelvis mest hvid, vores logo er et to-tal og den sidste tekst er vores postnummer. Det kan blive til adgangskoden 'hV|+0tvNV', som så kan gøres endnu mere sikker ved indsættelse.

I sig selv er metoderne kun mindre forbedringer, som dog trods alt er bedre end at glemme gode adgangskoder eller bruge dårlige koder. De bedste koder, som er lette at huske, opnår man ved at kombinere flere af metoderne. Derefter er den væsentligste udfordring at huske, hvilke metoder man har anvendt og hvordan.

Selvfølgelig skal man være opmærksom på, at selv den bedste adgangskode kun er god, så længe andre ikke kender den. Keyloggere og andre spionprogrammer er en åbenlys trussel, men også Post-it-sedler eller fælles adgangskoder undergraver sikkerheden ved kodeord. Derfor bør man altid holde kodeord private og udskifte dem jævnligt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

En stump kode i et programmeringssprog, der bruger mærkelige tegn kan også bruges. Jeg er f.eks. sikker på, at de fleste Perl-hackere kan opfinde en one-liner, der kan bruges som kodeord.

En TeX-hacker kan tilsvarende bruge f.eks. $\sum_i=1^10{i^2}$, som er ren volapyk for alle andre end TeX-brugere, men ret nem at huske, hvis man kender TeX.

Tilsvarende kan en Haskell-programmør bruge sum[i^2|i<-[1..10]].

Det er selvfølgeligt bedst, hvis den "kode" man bruger, ikke forekommer almindeligt i programmer.

  • 0
  • 0
Knud Henrik Strømming

Personligt husker jeg nok på adgangskoder til mellem 100 og 200 systemer, der kræver kodeord. Det ville selvsagt være umuligt at huske alle disse koder udenad, hvis de alle var forskellige.

Det har længe hørt til én af de gode regler, at kodeord skal være forskellige til forskellige systemer. Denne regel vil jeg godt anfægte.

Der er en lang række systemer, hvor den information, der gives adgang til, har meget lille værdi, om nogen overhovedet. Det er helt oplagt, at bruge det samme, forholdsvis svage kodeord til denne gruppe. Tilsvarende kan man bruge et lidt stærkere kodeord til en gruppe af systemer, hvor der er lidt mere mening i at beskytte adgang. I den kritiske ende kan man så bruge meget stærke og unikke kodeord til de få, meget kritiske systemer, fx netbank og digital signatur.

Start derfor med at lave en klassifikation af de forskellige systemer, som du bruger kodeord til.

I øvrigt er det også værd at notere, at længde i sig selv er en god egenskab ved et kodeord. Et kodeord på syv tegn med krav om store og små bogstaver, tal og tegn giver nogenlunde samme beskyttelse som et kodeord på ni tegn uden kompleksitetskrav.

  • 0
  • 0
Torben Mogensen Blogger

Jeg bruger også et enkelt meget simpelt kodeord til en del internetsider, der kræver login. Jeg er ganske enkelt trekvart ligeglad med, om andre går ind på de sider i mit navn.

Men jeg vil dog anfægte din udtalelse om, at længde i sig selv giver beskyttelse. Det er korrekt, hvis man kun ser på informationsmængden -- ni tegn i et alfabet med 26 bogstaver kræver flere bits end syv tegn i et alfabet med 64 tegn. Men selv lange tekster i klartekst er usikre, hvis de findes i de korpustekster og ordlister, som hackere bruger. Så en linje fra "Jabberwocky" (http://en.wikipedia.org/wiki/Jabberwocky) er ikke noget godt kodeord, selv om den er meget længere end kravet om mindstelængde.

Kravene om brug af både bogstaver, tal og specialtegn er ikke for at øge antallet af bit i kodeordet, det er primært for at forhindre ordbogsangreb. Men det kan gøres på mange andre måder, så jeg foretrækker selv, at man i stedet anbefaler (men ikke gennemtvinger) brug af kodeord, der ikke forekommer på Internettet. En fast regel kan omgås af hackere -- f.eks. kan erstatning af bogstaver med cifre, som foreslået i artiklen, nemt omgås ved at udvide ordlisterne med de mest almindelige substitutioner (1 for l, 0 for O osv). En bedre tommelfingerregel er:

Indtast dit foreslåede kodeord i søgefeltet i Google og brug det kun, hvis der ikke er nogen hits.

Det kan internetapplikationer også bruge ved godkendelse af kodeord, i stedet for som nu at teste på længden og tegnsættet.

  • 0
  • 0
Anonym

Det er jo meget fint, at bruge tid på at finde nogle gode password, men det hele falder lidt til jorden, når man skal skifte dem hver xx dage :-(

Det gør det så ikke bedre, at man ikke kan forklare div. chefer, at den der 90 dages regel, kun var god i 90'erne, hvor en Pentium II var Drømmen. (Efter som hastigheden er 10-20 doblet, tager det, så meget kortere tid at prøve alle mulighederne…)

Professionelt (på UNIX) er vi gået over til ssh-nølger, hvor snakken om forældelse og udskiftning er irrelevante.

Som lille PS. findes der en standard for ”A Random Word Generator For Pronounceable Passwords”. Den laver ganske gode passwords, og bruges i mange programmer (f.eks. pwgen og perl modul). (søg på FIPS181).

  • 0
  • 0
Per Frederiksen

De syv nævnte metoder er fine. Jeg vil tillade mig af foreslå endnu et par metoder, som også er så simple at enhver kan bruge dem.

Det er par råd som jeg har benyttet siden de gode gamle compumail dage tilbage i begyndelsen af 90'erne. 1) benyt altid mere end ét ord i dit kodeord 2) adskil hvert ord med tal eller tegn 3) benyt dele af et ord 4) stav forkert!

Disse fire metoder kan igen kombineres med de foreslåede syv metoder.

Så når jeg skal finde på et nyt kode ord, så kigger jeg fx på tekst omkring mig, og vælger et par ord eller dele af ord. Fx udgiw27om##dk-iver eller 4Medie&mig eller blot valhall!kan7merre

Jeg finder at sådanne kodeord er rimeligt nemme at huske. Derudover så er det ret nemt at lave lange kodeord.

Jeg benytter imidlertid forskellige kodeord til alle de login som jeg benytter. Det betyder at jeg for tiden benytter mere end 300 forskellige kodeord, og selv med gode huske metoder så finder jeg det rimeligt umuligt at huske så mange forskellige kodeord. Så til visse af kodeordene gemmer jeg i et af flere kodeords-husker programmer.

Jeg inddeler brugen af kodeord i grupper. Grupperne er ca. de fire følgende: a) forum (ca. 200 steder) b) online shopping (ca. 75 steder) c) steder med meget personlige informationer (ca. 25 steder) d) penge steder (ca. 10 steder)

Kodeord i gruppe a og b kan for min skyld gemmes i ethvert kodeords-husker system.

Kodeord til gruppe c og d overvåger jeg ret nøje, da det vil koste mig en del tid og indstats for at rette op på de tab der kan opstå hvis disse kodeord ikke længere er hemmelige.

  • 0
  • 0
Log ind eller Opret konto for at kommentere