Ligegyldige kodeord

Jeg har snart ikke overblik over hvor mange websteder jeg har en konto med et tilhørende kodeord til. Og i langt de fleste tilfælde er jeg faktisk lidt
ligeglad med sikkerheden. Det er nok ikke den store personlige gene hvis en angriber et gavekort på 200,- jeg ellers har gjort mig fortjent til ved at tage meningsmålinger.

Men hvis nogen nu fandt ud af at mit standardbrugernavn er 'pmakholm' og mit standardpassword er 'pj3vse-83', så ville det nok alt taget i betragtning blive generende.

Så jeg skal bruge et system til at huske ligegyldige kodeord. Mine krav er cirka følgende: Forskelligt kodeord til forskellige konti, jeg gider ikke at
skulle huske på komplicerede kodeord, det skal virke transperant på alle mine maskiner.

Første skridt er at erstatten et kompliceret master-kodeord med noget jeg har. I mit tilfælde en YubiKey, der er en simpel usb-dims fra Yubico. Den indeholder to identiteter som enten kan være et statisk kodeord eller et
HMAC-baseret One Time Password. Dimsen virker som et usb-tastatur, sp man sætter den bare i en maskine, trykker på knappen og så sender den ens kode som var det almindelige tastetryk. Simpelt og virker på alle maskiner.

Næste skridt er at bruge dette til at generere individuelle kodeord for alle websteder. Den rigtige model ville nok være en simpel browser-udvidelse der tog et statisk koderord fra ens Yubikey og et simpelt kendetegn for webstedet og brugte HMAC til at generere et kodeord.

Et alternativ er være at bruge end Yubikey til at authentificere over for en central service der kender alle mine passwords. En eksisterende service af denne slags er LastPass. Serveren er selvfølgelgi et muligt sted hvor man kan angribe alle mine identiteter på en gang, men i det mindste er jeg ikke afhængig af sikkerheden på alle de websteder jeg har en konto hos.

Af ren dovenskab bruger jeg løsningen hos LastPass. Det virker, men jeg har lidt en dårlig fornemmelse i maven. Desvære har jeg ikke lige kunne finde velfungerende, færdige implementationer af hverken model 1 eller model 2 som jeg selv kunne gennemse og installerer.

Nogle der har bedre bud på god håndtering af ligegyldige kodeord?

Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Esben Madsen

jeg kunne bestemt også godt være interesseret i sådan en løsning... en central key-vault a'la lastpass som jeg selv kan installere på min egen server (linux) og som låses op med mit superhemmelige kodeord... betalingsløsninger kan jeg sagtens leve med, men jeg vil selv have kontrollen over data...
smart koncept med yubikey i øvrigt... det kan da være jeg skal have mig sådan en... kan dog se en potentiel ulempe i fht. brug på telefoner o.l...

  • 0
  • 0
Robert Larsen

Så skal du have din software med dig alle steder...eller huske på et GODT password til at tilgå den på nettet.

Jeg selv har vanvittige passwords alle steder genereret med 'apg':

$ apg -m 12 -x 15 -a 0 -M SN  
woplosjat3quek)  
eerit2flatdab?  
giab7quatuf]  
fodab3ostid@  
ajyurr)seythet3  
setuvemuc@wrix7

Mine passwords er gemt i en GPG krypteret tekstfil og så har jeg et par Bash shell funktioner til at åbne filen for ændringer eller bare at greppe efter et password:

$ Password version2  
gpg: CAST5 encrypted data  
Enter passphrase:  
www.version2.dk E-mail: robert@*******.dk Password: *********

Filen er tilgængelig via min web server, så jeg kan få fat på den (og en shell) alle steder...men før jeg havde det brugte jeg algoritme teknikken.

  • 1
  • 0
Peter Makholm

Istedet for at huske dit password kan du huske på en algoritme til at generere dit password ud fra hostnavn...noget ikke helt åbenlyst.

Grundlæggende set er det min model 1. Jeg vil dog helt klart foretrække noget åbenlyst som HMAC(<masterkey>,<hostnavn>) frem for at sætte en række tilfældige transformationer sammen.

Der er også lige to pointer i forhold til ikke bare at bruge hostnavnet: Dels er der nogle konti der bruges på flere host-navne og dels vil jeg gerne stadigvæk kunen skifte password.

  • 0
  • 0
Casper Kvan Clausen

Jeg bruger også LastPass med en yubikey, og jeg har simpelthen afvejet risiko vs. bekvemmelighed ved at undlade at gemme de allervigtigste kodeord der (NemID, email og et par andre). Worst case ved kompromittering af LastPass er således at jeg skal afvise et par kreditkorttransaktioner, og det holder mig ikke vågen om natten.

  • 3
  • 0
Bjarke Walling

Jeg kunne godt tænke mig et sådant system med det ekstra krav at det kører i en browser (gerne client-side). Hvis man nu lige skal logge ind fra en andens laptop.

Edit: Jeg har ikke prøvet LastPass endnu, men jeg formoder det kræver at man installerer et browserplugin.

  • 0
  • 0
Casper Kvan Clausen

LastPass har også et rent webinterface, så pluginen er ikke nødvendig. De har i øvrigt også andre tofaktorløsninger end yubikey, hvis man ikke gider anskaffe sådan en (eller ikke kan bruge USB-porte på de maskiner, man vil tilgå det fra). Man kan også få en krypteret, offline, javascript-baseret version af sin password-boks, så de fleste brugsscenarier er dækket.

En god algoritmisk løsning er PasswordMaker, som kan køre på hvad som helst. Så længe man kan huske indstillingerne kan man endda bruge en webbaseret version, som man evt. kan installere på egen server.

  • 0
  • 0
Johnnie Hougaard Nielsen

Til mit brug får jeg godt udbytte af at Chrome browseren husker passwords, og sammen med andre data synkroniserer dem mellem forskellige maskiner, hvis jeg laver en logon. Jeg stoler mere på dem end på en "tilfældig" password-husker på nettet, men det er jo op til den enkelte at afveje.

Den indlysende begrænsning er at Chrome skal være tilgængelig, men så dækker den også Android-enheder i samme løsning.

  • 0
  • 0
Emil Moe

Så skal jeg kun huske 1 master key, det er synkroniseret over en krypteret fil i Dropbox og jeg logger ind i browseren ved at trykke på 2 selv angivne taster. Nemmerer det ikke og så dur det også på min tlf, tablet osv.

  • 1
  • 0
Peter Makholm

BrowserID ligner en teknologi der implementerer en form for federated identity. Den slags kræver at webstedet understøtter netop den ene form for identitet. Der er mange bud på hvordan vi løser password-problematikken på den måde: Facebook Connect, NemID, OpenID og OAuth, for bare at nævne et par stykker (lidt en blanding af abstraktionslag).

Under et passende sæt betingelser er det på langt sigt nok et bedre alternativ end at tvinge brugerne til at håndtere et væld af forskellige kodeord i dagligdagen. Men her og nu løser det ikke mit problem som bruger.

  • 0
  • 0
Tine Andersen

Og det har jeg fortrudt! Da jeg i en periode, skiftede computere. Nu kan jeg ikke rigtig huske de smarte logiske mere, og at computeren huske TWR/()=Y? er heller ikke logisk.

Senest har jeg købt login på TV2. Beklager, de står på en seddel, som jeg endda har tegnet på.* Jeg gider ikke det cirkus mere.

*Udkast til min tegneserie, der har katte som hovedpersoner, og nu også omhandler TV2-Play. Det er noget slemt skrammel!

Hvis computere er gode til at generere og huske passwords- hvorfor skal jeg så også gøre det?!

Næste gang bliver det et par skaktræk: b4d--sc4- måske...
Dromminggambit?

Mvh
Tine

  • 1
  • 1
Casper Thomsen

Privat bruger jeg 1Password og sync'er vha. Dropbox til et par forskellige computere og telefoner. Det fungerer fortrinligt og koster kun lidt håndører.

Arbejdsmæssigt har jeg en .gpg-fil og et par shell-scripts som grep'er til xclip. I tmux har jeg en genvej til at åbne et lille pane som er klar til at smide password efter ønske til xclip. Det fungerer udmærket. Når der er tid til opdatering af passwords bruger jeg bare gnupg.vim og :rpwgen -nsca 20 1 og sørger for at snuppe en backup.

  • 0
  • 0
Peter Olesen

Jeg er begyndt at bruge KeePass og udvidelsen til Firefox KeeFox. Det virker ret godt og gør at jeg kun skal huske et (master)password. Og ved at have KeePass kode"databasen" synkroniseret via DropBox eller tilsvarende er man sgu rimeligt godt kørende... Vil selv mene at sikkerhedsniveauet er steget drastisk i denne ende...
Der findes i øvrigt flere udvidelser til KeePass.

  • 0
  • 0
Sámal Rasmussen

Jeg har haft samme ide som OP, ser det ud til :)

Privat kan jeg leve med konsekvensen af at få næsten enhver konto hacket undtaget mail/NemID/netbank. Derfor har jeg lange unikke passwords på disse tre, men bruger det samme nemme password på alle andre sider.

Eller det har har i hvert fald gjort i mange år indtil jeg fandt Lastpass for nogle måneder siden, så nu laver den random passwords for mig.

  • 0
  • 0
Log ind eller Opret konto for at kommentere