Bruger du mere end ét password?

Jeg oplever fortsat, at meget få brugere ser ud til at være bevidste om de risici der opstår, når de at bruger det samme svage password til flere forskellige websites. Realiteten er, at man herved gør det meget lettere for en angriber at få adgang til sine ellers beskyttede informationer. Samtidigt må det konstateres, at selvom der findes mange alternative og sikrere metoder til autentifikation, så forbliver brugernavn/password den klart mest udbredte.

Antallet af forskellige tjenester, som vi brugere efterhånden har adgang til og som ofte anvender netop brugernavn/password er fortsat voksende. Det er samtidigt de færreste, der kan håndtere meget mere end en håndfuld brugernavne og passwords, og her kan man foranlediges til at 'springe over hvor gærdet er lavest' og vælge samme passwords til flere konti. Med den risiko, det giver.

Der findes dog flere forskellige tiltag der forsøger at hjælpe brugeren med at løse denne problematik. Jeg bruger pt. KeePass, der kan generere stærke passwords, og opbevare dem sikkert ved hjælp af kryptering lokalt på ens maskine. En anden løsning jeg har set på er LastPass. Denne tilbydes som en online service og kan anvendes på tværs af platforme, browsere og mobile enheder. Det oplyses at dette sker i krypteret tilstand, så det kun er én selv der kan dekryptere sine passwords. Jeg er dog lidt loren ved at skulle placere samtlige passwords på en server i udlandet.
 
Alternativt - og måske fremtiden ligger i mere eller mindre globale federations lignende løsninger. Et eksempel på et sådan initiativ er OpenID. Har man en GMail konto, har man faktisk allerede en OpenID konto. En lignende løsning tilbydes af Facebook via Facebook Connect. Begge løsninger kræver dog, at udviklerne integrerer disse løsninger i hjemmesiderne.

Er OpenID/Facebook Connect fremtiden' Eller hvordan skal vi håndtere den voksende mængde passwords - hvordan håndterer du dem nu'
 
/msh

Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Lyngshede

OpenID er en super smart løsning, hvis det ikke var pga. en lille detalje: Alle vil være din OpenID provider og kun få vil være consumer.

Når Google og andre råber op omkring at de nu understøtter OpenID, så er det kun en halv sandhed, de vil nemlig ikke acceptere login med OpenID, men vil gerne tillade at andre benytter dem som provider.

Jesper Louis Andersen

Jeg vil godt gøre jer opmærksom på en af mine medstuderende venners (Johan Brinch) stykke arbejde i programmet "RndPhrase". Det er ikke helt færdigt endnu, men han har 100% fat i det rigtige her. Det er et genialt stykke arbejde.

Tricket er, kort fortalt, at man hasher et password med domænet og derved genererer et nyt unikt password for hver nyt login. Det hele ligger så i (den rigtige anvendelse af) hash-algoritmen og i en browserplugin.

Mere info på:

http://www.dikutal.dk/node/3738

og hans kode-repo er naturligvis åbent:

http://wiki.github.com/brinchj/RndPhrase/

Martin Clausen

Jeg har i mange år brugt Password Safe (http://passwordsafe.sourceforge.net). Det er rimelig sikkert (blev oprindelig udviklet af Bruce Schneier) og reviewet (programmet er open source - ikke at det i sig selv er nogen garanti for noget).

Programmet gør det nemt at holde styr på login information til forskellige sites. Derudover har programmet en række shortcuts til fx at auto-paste brugernavn og kodeord ind i en form eller lignende. Programmet kan auto generere kodeord, så der er ingen undskyldning for at genbruge kodeord.

Carsten Sonne

Er OpenID/Facebook Connect fremtiden? Eller hvordan skal vi håndtere den voksende mængde passwords - hvordan håndterer du dem nu?

En modning af den elektronisk nøglering eller en digital signatur hvor du selv har din private nøgle, f.eks. PGP, er det eneste acceptable.

KeePass virker både til .Net og Mono. KeePassX er crossplatform, bl.a. Linux og diverse mobil OS. Den største udfording er at finde en online placering hvorfra indholdsfilen kan gemmes og hentes.

Begge fantaiske værktøjer der bygger på RSA. Den største risiko er at nogle stjæler nøgleringen og hovednøgle samtidig. For den kyndige bruger, dog langt mere sikkert end at overlade det til sikkerheden på diverse serverer.

Som en klog man engang sagde: Single sign-on (SSO) er og bør være en client side teknologi.

Robert Larsen

Jeg har et sæt af funktioner i min .bashrc fil som gør at jeg let kan åbne en krypteret fil på min usb stick, og så er der en batch fil og gpg til Windows så jeg kan gøre det samme når jeg er væk fra Linux.

Jeg har så også en kommando så jeg kan hente et enkelt password ud fra filen.

Jeg bruge 'apg' (http://www.adel.nursat.kz/apg/) til at generere passwords, for så er de oftest brugte lidt nemmere at huske. Intet password er brugt flere steder.

Jens Kjellerup

Jeg har behov for at opbevare alverdens små personlige informationer på en sikker måde. Koder til kontokort, til filer der pakket/låst med password, til administratorkontoen på hjemmeserveren osv.

Jeg brugte indtil for nyligt Keyring for Palm
http://gnukeyring.sourceforge.net/
på telefonen og Gnome Keyring
http://live.gnome.org/GnomeKeyring
på pc'en.

Nu mangler jeg en udgave Keyring til den Symbian jeg har fået leveret af mit nuværende arbejde.

Knud Henrik Strømming

Samtidigt må det konstateres, at selvom der findes mange alternative og sikrere metoder til autentifikation, så forbliver brugernavn/password den klart mest udbredte.

Den absolut mest udbredte autentificeringsmetode må vel stadig være "noget jeg har". Render vi ikke alle sammen rundt med en nøgle til hoveddøren, til bilen/cyklen, til arbejdspladsen, til garderobeskabet, for ikke at nævne pas, kørekort, ID-kort m.v...?

Og så er der jo "noget jeg ved", nemlig det hemmelige kodeord.

Men herudover, hvad er det for en masse alternative metoder?

M.v.h. Knud Henrik

PS: Jeg ved godt, at diverse leverandører af biometriske identifikationssystemer forsøger at prakke os disse på som autentificeringssystemer, med sloganet "noget du er" - det er en eklatant misforståelse! Men det er en helt anden og meget længere diskussion.

Mads Syska Hansen

Hej Knud,

Da version2 nu er et IT site, mente jeg naturligvis autentifikationsmetoder, der kan anvendes i IT sammenhæng. Om en nøgle så er en autentifikationsmetode, det er vel lidt en definitionssag. Jeg vil normalt mene at autentifikation består af to ting: 1. Identifikation og 2. Verifikation af denne identitet.

Til verifikation af en IT identitet findes der da bestemt flere løsninger end password og biometri. Du nævner jo selv de tre kategorier:
1) noget man ved (f.eks. password, pass phrase, PIN))
2) noget man har (f.eks. smartcard, hardware token, software token, mobiltelefon)
3) noget man er (biometri)

/msh

Knud Henrik Strømming

Hej Mads

1) Det er noget sludder, at autentifikation består af identifikation og verifikation. Autentifikation består af autentifikation. Punktum (læs selv nogle gode bøger om emnet). Adgangskontrol består af identifikation, autentifikation og autorisation.

2) Det er noget sludder, at jeg nævner tre autentifikationsmetoder. Jeg nævner to: 1. noget man ved (en eller anden form for kodeord) og 2. noget man har (en eller anden form form nøgle/token). Jeg skriver eksplicit, at biometri er en identifikationsmetode, ikke en autentifikationsmetode. Læs fx Bruce Schneier eller Steve Riley, hvis du er i tvivl.

3) Mit oprindelige spørgsmål, om nogen kan nævne andre end de to autentifikationsmetoder, er derfor stadig ubesvaret.

4) Mit fornavn er "Knud Henrik".

M.v.h. Knud Henrik

Knud Henrik Strømming

@Kim

Jeg kan i teorien forestille mig en del grundlæggende forskellige autentificeringsmetoder, som jeg dog aldrig har hørt om praktiske implementeringer af. Fx kunne man (formentlig) vha en (lang) række spørgsmål om holdninger og præferencer lave en profil over, hvem "man er". Men jeg har meget svært ved at se, hvordan man skulle kunne lave en praktisk implementation, som ikke ville være umådeligt tung at anvende. Derfor finder jeg det ikke underordnet, om der findes konkrete, praktisk anvendelige implementeringer.

Jeg antager, at du, når du nævner checks og dankortnotaer, som eksempler på autentifikation bygget på noget "man gør", tænker på underskriften. Kender du til nogen konkrete, praktisk anvendelige eksempler på implementation, hvor selve den underskriftsgenererende handling benyttes som autentifikationsmetode til et IT-system?

Du bliver nødt til at uddybe, hvordan du mener, at aflevering af anbefalet post skulle være en autentifikationsmetode bygget på noget "man gør". OK, hvis der IKKE er nogen hjemme, når postbuddet ringer på, så skal du på posthuset og aflevere en underskrift, hvorved vi er tilbage til diskussionen ovenfor. Men hvis der ER nogen hjemme, så kan hvem som helst modtage det anbefalede brev - og så er der jo ikke megen autentifikation i det. Og i øvrigt er det lidt upraktisk at skulle afvente og modtage et anbefalet brev, hver gang man skal logge på et IT-system.

Kim Sørensen

@Knud

Dit spørgsmål gik på om der var nogen, der kunne nævne andre metoder, end dem du tidligere nævnte.
Til det spørgsmål er svaret: Ja - noget man [b]gør[/b]

I den forbindelse er det vel underordnet om de benyttes, hvor meget de benyttes eller om de ikke benyttes. Fakta er at der findes ihvertfald tre metoder og ikke kun to, som du påstår.

Ang. anbefalet post så skal du indføre din underskrift på en pda, når posten bliver afleveret på din adresse. I tilfælde af tvivl om hvorvidt modtageren af den anbefalede post er den korrekte modtager eller ej, vil man bruge underskriften fra pda'en til autentifikation.
Hvis det ikke er IT-system, der benytter noget du [b]gør[/b] som metode til autentifikation...ja så ved jeg ærligt talt ikke hvad det er.

Log ind eller Opret konto for at kommentere