Hvordan skal vi nu låse vores døre? Eller noget som helst?

Gæt den hemmelig kode til denne dør:

Illustration: Privatfoto

Billedet fra sidste uge er blevet retweetet et par tusind gange og viser en sikkerhedslås i en lufthavn hvor koden ikke er så hemmelig mere. Tasterne viser ret klart hvilke fire tal man skal forsøge sig med. Der ud over er der sikkert hundredvis af nuværende og tidligere ansatte som kender den, så ja, det er en rimelige kompromitteret lås.

Nu har jeg ikke en keypad på min dør derhjemme. I stedet bruger jeg de klassiske sekstakkede nøgler. Helt sikre er de ikke, det ved jeg, og jeg får nervøse trækninger ved tanken om hvad en ansigtstatoveret låsesmed kan gøre med låsen i løbet af få sekunder. Men alligevel, åbning af låsen kræver kundskaber som ikke alle har adgang til og værktøj som er ikke er lige nemt at få fat i.

Kopiering af nøgler er sket i århundreder lige siden en eller anden kreativ person fandt på at kombinere en nøgle med en klump modellervoks. Sikkerheden har lige siden ligget i, at tyven skal have fysisk adgang til nøglen og at nøglen selv da ikke kunne kopieres nemt. Så længe vi ikke overlader vores nøgler til andre har vi været relativt sikre.

Sådan er det dog ikke længere.

Hør bare her hvad forskere fra University of California har gjort med et kamera og en udgave af programmet MatLab.

Ud fra et foto af en nøgle taget på ca. 60 meters afstand lavede de billedanalyse på nøglens takker, udledte nøgletakkernes kode og lavede en kopi. Det var allerede i 2009 i et projekt ved navn Sneakey.

Udstyret til at tage billedet er siden blevet billigere end de 2.000 $ forskerne betalte. Kamaraerne er blevet noget lettere, meget billigere og med højere opløsning.

Afkodningen af billedet for at finde nøglens kode er også blevet lettere. Meget lettere. En internetbaseret nøgle-service KeyMe skal bare bruge et billede, så sender de dig en ekstranøgle med samme kode med posten (se Wired). KeyMe har strammet op på sikkerheden siden omtalen i Wired, men de er blot en blandt mange tjenester som kan den slags. Det er vel bare et spørgsmål om tid før de brådne kar tilbyder en lignende service uden formelle krav til de nøgle-billeder, som skal indsendes.

Behovet for at have fingre i nøglen før den kan kopieres ser derfor ud til at forsvinde lige så stille.

Barrieren er fortsat at indbrudstyven skal være fysisk til stede i nærheden og tage et billede inden for de få sekunder en nøgle typisk er synlig. Fjernaflæsning af nøgler skalerer derfor ikke så godt og der er risiko for at blive opdaget og stoppet. Derfor er vi i rimelig sikkerhed fra den tilfældige tyv. Men hvor længe?

Tyvebander har i flere år investeret i at sætte kompliceret aflæsningsudstyr på hæveautomater som Morten Bay levende har rapporteret om. Dét er svært i sammenligning med, hvor simpelt det er at sætte et knappehuls-kamera med wifi, til en pris af få hunderede kroner, fast med en klump tyggegummi op tæt på hoveddøren, tage et billede af nøglen umiddelbart før vi sætter den i låsen og så få lavet en kopi på nettet.

Vores almindelige nøgler kan altså aflæses fra afstand og er groft sagt lige så kompromitterede som sikkerhedslåsen fra lufthavnen. Det samme er de klassiske keycards med RFID-chips (se fx her). Og sikkerheden med smartphone-baseret oplåsning er jeg heller ikke for sikker på. Så hvad skal vi nu bruge til at låse vores døre?

Kommentarer (35)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Nielsen

Med offentlige IT-sikkerhedsbriller, så er lovgivningen jo en væsentlig del af sikkerheden.

Da loven ikke er ændret, er sikkerheden heller ikke ændret væsentligt.

At du bringer dén slags nyheder, er meget mistænkeligt, og der må findes en paragraf som vi kan kaste efter dig.

sarcasm off..

Relevant og tankevækkende indlæg.
Det er altid godt at kende til modstanderens muligheder.

K

Henrik Pedersen

Det er den eneste vej frem.
Du kan dirke låsene, du kan kopiere RFID kort, og telefoner kan stjæles, og koderne kan om nødvendigt hackes / hives ud på anden vis, hvis de ligger i en app. Fingeraftryk kan kopieres, da det er noget vi efterlader over alt. Nogle dyrere modeller tjekker ganske vidst for puls, men de kan også snydes hvis man vil. Iris scanning er efterhånden det eneste der er rimelig resistent over for angreb, hvis det er en dyrere model, men de er næsten umulige at få fat i. Jeg har selv prøvet, og jeg tror det er pga. eksport forbud fra USA. Og hvis man endelig finder dem er de ordentlige modeller > 50.000 kroner.

I forvejen tager det tid at stikke nøglen i hullet, og dreje den rundt. Det ville ikke tage meget længere tid at have en transponder på sig, som modtager et challenge, og giver en response, og så f.eks. bruge biometri i form af fingeraftryk, håndaftryk, iris-scanning. Whatever, hvor fancy du føler dig.

Optimalt ville man udvide med en pinkode hvis man følte sig helt paranoid. "The authentication triangle":

Something you know, something you got, something you are.

Men så igen, det er måske for besværligt til hverdagsbrug.
En model hvor man i hverdagen kunne nøjes med transponderen (det kunne være i ens mobil), eller nøjes med fingeraftrykket, og f.eks. når man tager på ferie så kræve både kode, transponder og fingeraftryk, ville måske være mere oplagt. Uanset hvad tror jeg at vi er nødt til at overgå til to handlinger for at låse vores døre op, for at vi kan holde dem sikre.

Men Peter Nørregaard, jeg vil godt have lov at minde dig om denne XKCD: http://xkcd.com/538/
Desuden, hvis tyven vil ind, så kommer han det bare gennem dit vindue, eller bakker gennem hjørnet af huset med en skraldebil. Ind, det kommer han. Dertil vil jeg så tilføje at det sikreste vi kan gøre i øjeblikket er at få mere komplekse nøgler. Det kunne f.eks. være ved at tilføre flere riller, også inde i selve nøglen, eller evt. noget alla denne her Medeco nøgle, som også kræver at tumblerne roteres.
http://qph.is.quoracdn.net/main-qimg-d95c29eaa7c2f1d41f574dd61da728bb

Poul Pedersen

Vi låser som udgangspunkt for at få en fornemmelse af tryghed i form af bedre forsikringsdækning end den man kunne opnå uden at låse sit hus.
Men selvom man kunne lave låsen, døren og huset 112% sikker, var det så en fordel? For man opnår jo følelsen af have sikret sit hus "godt nok" længe inden man skal have Franz Jäger dør svejset i.
De fleste glemmer jo at de nok trods alt gerne vil have at redningsfolk kan komme ind og hjælpe en eller slukke en juledekoration inden den futter det hele af.

Fuldstændig sikkerhed/tryghed medfører som altid også andre former for usikkerhed og ulemper. Om det så er services hvor man kun har et password uden mulighed for recovery eller en elektronisk lås uden en fysisk override, så er princippet det samme, uden magelighed af et vist niveau bliver sikkerheden til en teoretisk detalje i en glemt bog.
Biometrisk sikkerhed står jo netop med den detalje at rockerne så bare truer dig til at samarbejde, og så var det jo nok mere behageligt at de bare selv gik ind og ordnede deres forretning mens man ikke var hjemme.

Kasper Henriksen

Man kunne formentlig godt lave noget med RFID-kort, der er mere sikkert. F.eks. hvis chippen blev fragtet rundt i en "sok" af metal, hvor man så indsætter hele sokken i aflæsningsmodulet, som naturligvis hiver selve chippen ud af sokken og aflæser koden inde i et lille Faraday-bur.

Det lyder dog rimelig dyrt og upraktisk.

Henrik Pedersen

Bortset fra det ville være pisse ulovligt. Jeg har kigget på muligheden for at skære huller i mit loft (der er ikke noget der oppe af alligevel, og for lavt til praktisk opbevaring), og så installere paintball geværer der kan rotere rundt, sådan at de ikke kan ses normalt, men at de kan tippe ned og selv skyde på alt der bevæger sig. Det er særdeles muligt, og ikke super svært at bygge.

Men så snakkede jeg med en ven der er advokat. Hvis en tyv bryder ind, og bliver skudt i øjet af mit paintballgevær, så står jeg til noget af en retsag... Jeg forstår simpelthen ikke det system. Lige for at diskutere politik, så hvis en person bryder ind, og det kan bevises at han var igang med at stjæle fra ens ejendom (videovervågning?), så burde det som minimum være tilladt at skyde ham i røven med et læs salt... Og han burde i hvert fald ikke kunne sagsøge for permanente skader forvoldt på hans krop.

DET ville nok holde indbrudstyvene ude. Til gengæld kan jeg også se en masse tilfælde hvor døds-systemet er bygget i Python på en Windows XP maskine, og 4 mennesker bliver dræbt eller hårdt kvæstet. Scratch that! Det var en elendig idé! xD

Konklusion: Det er ulovligt at skade indbrudstyve. Desværre. (Men nok også for alles bedste!).

EDIT: Jeg så en kunstudstilling i en gennemgang, inde i Nakskov. Der hang lange afisolerede kabler på den anden side af glasruden, frem og tilbage, og så sad de i stikkontakten over til højre. Der hang en lille håndskrev lap papir: "Jeg er elektriker, kablerne er sat til 220v.".

Jeg kunne ikke lade være med at grine. Og hold da kæft en brand-risiko!

Jan Lunddal Larsen
Christian Nobel

Tja, og så er der dem, der har vinduer i stueetagen, så mon ikke tyven vælger den indgang i stedet?

Det er vel et spørgsmål om at vælge sine slag med omhu, samt huske at ambitionsniveauet skal være konsekvent:

Hav en solid hoveddør med en forsikringsgodkendt lås.
Sørg for at tyven ikke kan få arbejdsro.
Husk det nytter ikke noget at hoveddøren har en god lås, hvis havedøren eller vinduerne kan åbnes med en tandstikker.
Gør det vanskeligt for tyven at komme ind i haven, hvor han kan have arbejdsro.
Husk almindelige regler om at huset ikke må se ubeboet ud, lys, osv.
Pas på med hvem der kommer på besøg ved salg af ting på DBA eller lignende.
Overvej om B&O anlægget i det hele taget skal på DBA.
Hvis huset skal sælges, lad være med at lade det fremstå som et tag-selv bord for en indbrudstyv.
Overvej en alarm.

Alt sammen ting der gør at den mindre målbevidste indbrudstyv nok går videre til naboen.

Ditlev Petersen

Jeg ved ikke, hvorfor jeg får sådanne mærkelige associationer, når folk snakker om selvskudsautomater og andre dødsfælder og ligefrem er forargede over, at det er forbudt. Så en forbrydelse afhænger kun af HVEM der gør det, ikke HVAD man gør (skader folk)?

Man kan få mekaniske nøgler, der har fordybninger i siden. De låse skulle ikke kunne "bankes" op og er formodentlig også svære at ordne med en papirclip. Og det vil kræve ganske avancerede kameraer af afkode dem på afstand (på begge sider). Man kunne sikkert også lave låse med elektroniske nøgler (RFID). Det er vist det, vi har på arbejde. De er også nemme at kode om, hvis et kort er mistet. Men de kan ikke fås som app (hvilket kun kan være en fordel).

Jeg kender et sted, hvor trykknaplåsen kun har slitage på én knap. Det er til at græde over.

Maciej Szeliga
Kristian Sørensen

Det er vel et spørgsmål om at vælge sine slag med omhu, samt huske at ambitionsniveauet skal være konsekvent:

Nemlig.

Og afpasset efter truslen.

Har man dyrt indbo eller særlige genstande der kunne blive genstand for målrettede indbrud fra organiserede bander, så er behovet for sikring højere end hvis truslen mest kommer fra narkomaner og småkriminelle typer.

Ens hjem er tilpas sikret når sikkerhedsniveauet overstiger det tekniske kompetence niveau hos den formodede kategori af indbrudstyve.

Så det ene hjem kan være behørigt sikret når blot alle låsene er nye "bankenøgle-frie" modeller der er monteret korrekt, mens et mere luksuriøst indrettet hjem skal langt højere op i sikrings niveau.

Henrik Pedersen

De fleste strandsvejsvillaer har elektroniske gates, hvor man skal bruge en trådløs fjernbetjening, og så "pyntespyd" på stålhegnet hele vejen rundt.

Kilde: Jeg havde en kæreste der ude i 1,5 år. Og jeg ville ALDRIG prøve at kravle over sådan et hegn, ikke engang for sjov. Det virker faktisk som en ret god løsning til perimeter sikring. Holder narkomanerne væk for overhovedet at prøve mod sit fine dyre hus...

Henrik Madsen

Man kunne formentlig godt lave noget med RFID-kort, der er mere sikkert. F.eks. hvis chippen blev fragtet rundt i en "sok" af metal, hvor man så indsætter hele sokken i aflæsningsmodulet, som naturligvis hiver selve chippen ud af sokken og aflæser koden inde i et lille Faraday-bur.

Det lyder dog rimelig dyrt og upraktisk.

Jeg har set flere tegnebøger som er blevet solgt med en anprisning om at de er RFID safe.

Altså at der er metal i lommen hvor kortet med RFID chippen ligger,netop for at sørge for at kortet kun kan læses når det er taget ud af pungen.

På den måde undgår man at få det aflæst på gaden.

Jacob Rasmussen

Jeg fik her for nyligt udleveret en nøgle, til et spritnyt kontor byggeri.
Der var et creditcard størrelse RFID tag, med tilhørende PIN kode (skrevet på kortet... Ikke noget med selvvalg her :-( ) og så en relativt avanceret nøgle, med 'takker' i 3 retninger. Den havde udover de traditionelle lodrette stifter, også en række nede på siden, der sidder lodret og tilsyneladende også en række stifter der sad vandret.

Gammeldags 5stift rukonøgler og billige hængelåse, kan jeg dirke op med et dirkesæt.
Den her lås skulle selvfølgelig også prøves (på vores egen dør), men det kom jeg ikke ret langt med.
Nu er lockpicking så heller ikke min største hobby. Måske andre med mere tid og erfaring kunne få den op.

Jeg spurgte udlejer, hvorfor de havde både elektroniske og mekaniske nøgler. Når de i forvejen har hele yderskallen af bygningen, elevator fra p-kælder og døre ind til etagen sikret med RFID, hvorfor så ikke også døren til de enkelte kontor lejemål.
Svaret var, at de andre låse ikke kunne godkendes af forsikringen. (SKAFOR)

Hvorfor pokker leger vi med RFID, hvis ikke de er 'sikre' nok til formålet alligevel? Er det forsikringen eller låsen der skal rettes til?

Peter Hansen

I stedet bruger jeg de klassiske sekstakkede nøgler. Helt sikre er de ikke, det ved jeg, og jeg får nervøse trækninger ved tanken om hvad en ansigtstatoveret låsesmed kan gøre med låsen i løbet af få sekunder. Men alligevel, åbning af låsen kræver kundskaber som ikke alle har adgang til og værktøj som er ikke er lige nemt at få fat i.

Der tager du vist fejl.
5- og 6-stiftede låse kræver kun en bankenøgle som alle kan købe lovligt på nettet. For eksempel på Amazon eller her: http://lockpick.dk/bankenoegler-36
Kundskaberne til at bruge nøglerne har alle også let adgang til. Der findes masser af videoguides på YouTube om hvordan man anvender bankenøgler.
5-stiftede er meget lette at låse op med en bankenøgle, mens 6-stiftede låse måske kræver lidt flere forsøg. Men alle kan hurtigt lære at gøre det.
Det er også derfor låseeskperter råder folk til at udskifte 5- og 6-stiftede yderlåse med noget mere sikkert, hvor man i det mindste ikke kan bruge bankenøgler.
Patenterne på 5- og 6-stiftede nøgler er desuden udløbet, hvilket betyder at man frit kan kopiere nøglerne. Nyere og mere sikre nøgler kan man kun få kopieret ved fremvisning af sikkerhedskort.

Thomas Mortensen

Tak for god viden vil jeg lige starte med af sige, super indslag! Typisk af alle medarbejdere taster samme nemme kode hverdag og ikke tænker over knaperne bliver slidt, der skal da være kontrol af sådan noget.

Men af man kan tage et billed af nøgler så langt væk og lave en nøgle, er da info der gør vi alle skal til af have nye nøgler :o/

Tine Andersen

Pudsigt nok, har jeg lige læst i et ugeblad, at forsikringsselskaberne anbefaler, at man låser sine døre og lukker vinduerne- også selvom man er hjemme. Hvis en tyv går ind er det "simpelt tyveri", men er et eller andet brækket op- er det indbrud.
Så låse er til for- at bevise nogen er kommet ind med vold.

Jeg har selv lige fået skiftet låse (det gik op for mig at låsen i postkassen var bedre end den i hoveddøren...), det var ikke helt billigt. Selvom den ultimative sikring faktisk ville kræve nye yderdøre/vinduer...

Jeg mener nu nok at den der "trekantede" nøgle (vistnok en Foxlås?) er meget sikker, jeg har da i hvertfald oplevet at låsesmedene ikke kan få dem op. (Jeg var engang rigtig god til at glemme mine nøgler- og udover smæklåsen var der en Foxlås. Det er ikke sjovt at sove på reposen...)

Billedet viser i virkeligheden en klassiker: At man aldrig nogensinde stiller låsen om/ændrer koden for, det er for besværligt. Dovenskab er en dødssynd. :-)

Mvh
Tine- der ikke har smæklåse

Jakob Hull Havgaard

En simpel løsning på problemet med fotografering af nøgler kunne simpelthen være at udstyre sine nøgler med et gummihylster som dækker nøglen når den ikke er i brug, og som presses tilbage når nøglen sættes i låsen.

Peter Nørregaard Blogger

Tak for info - jeg troede faktisk kun at det var den 5-takkede som kunne bankes op. Men hvorfor troede jeg egentligt det - det er jo samme teknologi...?

Jakob, udmærket ide med ...forhud (jeg ville nok kalde dimsen noget andet under fundraisningen på kickstarter).

Men når der er bankenøgler derude, så er de nok den mest umiddelbare trussel. Vi må nok se os om efter fx den der trekantede nøgle som Tine taler om.

David Nielsen

http://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm

Hvad med sådan en til en keypad - så bliver de ikke slidt ens - og hvis nogen skulle have held til at aflure koden - så skifter den om 30 sekunder.

Kræver så at låsen har rimelig præcist ur - sender Frankfurt stadig klokken over radio signal nemt? - og at du har en mobil eller anden enhed til TOTP kode generering (ærgeligt at løbe tør for strøm med mobilen - men det er vel altid træls).

Lasse Vinther Tyron

Da den gamle lås ikke længere ville mere faldt valget på en elektronisk lås fra Samsung. Et touchdisplay på yderside og det der ligner en kasselås på indvendig side.
Låsen aktiveres ved at berøre displayet (når man står ude og vil ind). To "tilfældige" tal på displayet lyser og man skal trykke på de to (fingeraftryk afslører ikke koden). Dernæst skal man trykke en selvvalgt fire cifret kode og til sidst holde sin rfid-chip tæt på låsen.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize