Torben Mogensen header

Kodeord

Denne xkcd strip udtrykker meget godt min holdning til valg af kodeord, og hvorfor jeg hader netsider, der stiller krav om brug af både store og små bogstaver, cifre og specialsymboler.

Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Arvin

Og når det kombineres med politikker om hyppige password-skift, får det yderligere effekter såsom at folk nedskriver kodeord og/eller vælger simple systemer til at skabe variation over samme grundkodeord.

Vi er gode til at spilde folks tid i IT-verdenen.

  • 8
  • 0
Torben Mogensen Blogger

Jep. De sider, der har krav om flere forskellige tegnkategorier er i reglen de sider, hvor jeg jævnligt skal bede om at få et nyt kodeord tilsendt, fordi jeg har glemt det gamle. Det gælder specielt sider, som jeg kun sjældent besøger.

Jeg kan forstå strenge krav til kodeords sikkerhed hos netbanker osv, men meget ofte finder man disse krav på diskussionsfora, hvor det værste, der kan ske, er, at nogen skriver indlæg i en anden persons navn.

  • 0
  • 0
Torben Frandsen

Jeg tænkte umiddelbart at entropien ville være væsentligt mindre end de 2^44 ved dictionary attacks. Men det holder vist kun ved små dictionaries. Kan det passe for mig, at 2^44 overstiges ved 4 ord fra et dictionary på blot 2048 ord, og at et mere realistisk dictionary på over 100.000 bringer os over 2^60? Eller er jeg helt galt på den?

  • 0
  • 0
Torben Mogensen Blogger

2^44 svarer ganske rigtigt til 11 bit entropi pr. ord, hvilket groft sagt er 2048 forskellige ord, hvilket ikke er meget.

Men nu sagde han jo "common words", så det reducerer antallet af ord til noget mindre end antallet af ord, en almindelig ordbog indeholder. Hvis man samtidig vil holde sig til ord mellem 5 og 8 bogstaver, begrænser det tallet yderligere. Men 2048 er nok stadig ret lavt sat. Jeg vil nok estimere antallet til omkring 20000 ord, altså ca. 14 bit. Dermed er tre ord (= 42 bit) rigeligt.

Man skal dog passe på, at ordene ikke kan forekomme i rækkefølge i en meningsfuld tekst, da et korpusbaseret angreb i givet fald kunne finde kodeordet. F.eks. vil "fourscoreandsevenyearsago" næppe være noget godt kodeord. :-)

  • 1
  • 0
Martin R. Ehmsen

Det er helt klart at det i XKCD's strip er antaget at en angriber kender algoritmen hvorved kodeordet er genereret.

På arbejdet bruger vi NIST's algoritme (http://en.wikipedia.org/wiki/Password_strength#Human-generated_passwords) til at udregne entropien af et kodeord og så kræve en minimums-entropi:

  • the entropy of the first character is four bits;

  • the entropy of the next seven characters are two bits per character;

  • the ninth through the twentieth character has 1.5 bits of entropy per character;

  • characters 21 and above have one bit of entropy per character.

  • 0
  • 0
Peter Makholm Blogger

Det er helt klart at det i XKCD's strip er antaget at en angriber kender algoritmen hvorved kodeordet er genereret.

Ja, det fremgår af kommentaren i første ramme: "You can add a few more bits to account for the fact that this is only one of a few common formats.

Randall svarer iøvrigt på en række kommentare her: http://ask.metafilter.com/193052/Oh-Randall-you-do-confound-me-so#2779020

  • 0
  • 0
Log ind eller Opret konto for at kommentere