georg strøm bloghoved

Sikkerhedsniveau nul

Midt i diskussionen om IT-sikkerhed og grundigt designede systemer, er det værd at huske, at de ansvarlige nogle gange lægger op til en sikkerhed tæt på nul, uanset hvor meget kryptering og listige procedurer de indfører.

Her er nogle eksempler, som jeg har oplevet.

Nogle systemer anvender brugernes navne eller identiteter som kodeordet. Det er hvad CPR-systemet gør, og situationen er næsten den samme for dit kreditkort, bortset fra at der kræves tre yderligere cifre som er trykt på kortet. Det er altså ret let for tjeneren at få fat på tallene, når du skal betale for feriemiddagen på en restaurant.

Problemet er, at det er umuligt at undgå at brugerens navn bliver kendt af en stor gruppe, så det er umuligt at undgå at det havner ved en person som vil misbruge det.

En anden fejl er at lave en sikkerhedsprocedure med to dele som skal være uafhængige af hinanden, men hvor de alligevel har et punkt til fælles. Et eksempel er de procedurer som er baseret på at kunden modtager to breve med et par dages mellemrum. Det er et let mål for identitetstyveri, da enhver der har adgang til postkassen kan skaffe sig begge breve uden at nogen opdager det.

Andre steder er der sikkerhedsrutiner som gør det umuligt at lave arbejdet. Det har faktisk været et tilbagevendende problem, når jeg skulle undersøge hvordan IT-systemer egentlig blev anvendt. Ofte var jeg nødt til at finde en pæn måde at beskrive, at de ansatte faktisk overtrådte de regler som firmaet fortalte de skulle følge

Et eksempel er, hvis hver bruger skal holde styr på en halv snes passwords, og samtidig har forbud mod at skrive dem ned. Det er umuligt, så enten bliver de skrevet ned, eller også bliver der brugt indlysende passwords som er lette at gætte. Faktisk bliver sikkerheden bedre, hvis firmaet laver nogle regler for hvordan password må skrives ned og opbevares.

Det værste er dog, når en eller anden sikkerhedsansvarlig laver regler, som sikrer at uvedkommende ved hvad det er værd at gå efter. En del firmaer kræver at præsentationer og rapporter som ikke må komme ud til andre, skal være mærket med ”Fortrolig”, ”Confidential” eller ”Internal use only”. Også selvom firmaet ikke er i stand til at forhindre at dets rapporter eller præsentationer havner et sted hvor Google kan finde dem.

Jeg har googlet efter ”Confidential” og et par andre nøgleord, og hvad fandt jeg: En præsentation af et stort firmas planer for nye produkter, en fortrolig orientering til engelske politikere om hvordan politiet ville reagere overfor terrorister i Londons undergrundsbane, og - meget passende - en beskrivelse af sårbare punkter ved behandling af kreditkort, som kunne udnyttes af svindlere.

Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Casper Bang

Et eksempel er de procedurer som er baseret på at kunden modtager to breve med et par dages mellemrum. Det er et let mål for identitetstyveri, da enhver der har adgang til postkassen kan skaffe sig begge breve uden at nogen opdager det.

Jamen lad os da bare få navnet på bordet, NemID. Og lad os lige tage med i opløber, at rigtig mange, incl. jeg selv, modtog begge brev på samme dag.

  • 6
  • 0
#3 Torben Mogensen Blogger

I samme kategori som de 20 kodeord er krav om, at kodeord skal indeholde både store og små bogstaver, cifre og specialtegn. Det giver kodeord, der er umulige at huske, så de bliver med garanti skrevet ned.

  • 5
  • 1
#4 Christian Schmidt Blogger

Et andet hyppigt problem er procedurerne for at give adgang, hvis en bruger har glemt sin adgangskode eller fx sit adgangskort til arbejdspladsen.

Mange steder kan man bare ringe til en en hotline og bede om at få nulstillet sin adgangskode, uden at der bliver gjort ret meget for at sikre, at personen er den, som han udgiver sig for at være.

Et andet problem ved stort set alle onlinetjenester er, at man kan få nulstillet sin adgangskode blot ved at få sendt en e-mail til den adresse, man oprindeligt har registreret sig ved. Det betyder, at hvis din e-mail-konto bliver kompromitteret, så har du også fået kompromitteret 117 andre konti. Og for e-mail er det ganske udbredt, at sikkerhed ikke vægtes særligt højt, fx med to-faktor-autentificering. På mit arbejde skal man bruge en RSA-nøglering for at logge på firmaets VPN, men vores Google Apps-mail (og øvrige Google Apps-tjenester) er tilgængelige fra hele verden, blot man har et password.

  • 0
  • 0
#5 Casper Bang

Mange steder kan man bare ringe til en en hotline og bede om at få nulstillet sin adgangskode, uden at der bliver gjort ret meget for at sikre, at personen er den, som han udgiver sig for at være.

Dette er dog interesant nok noget kulturelt! Folk der er vant til at rejse, vil nikke genkendende til at i udlandet (USA/Canada især) er man generelt meget mere påpasselig. Som dansker virker det til tider overdrevet og kun til gene, når butiksbestyreren checker underskriften bag på ens Visa, scanner pengesedlerne under UV lys, sætter klistermærker over ens taske når man går i Walmart, kun tillader 3 stykker tøj med ind i et prøverum osv. osv.

Med andre ord, vi er nok nød til at berede os på at vores procedurer og praksis er nød til at følge med, for ikke at vi skal blive set som naive og et nemt mål.

  • 3
  • 0
#6 Adam Tulinius

I samme kategori som de 20 kodeord er krav om, at kodeord skal indeholde både store og små bogstaver, cifre og specialtegn. Det giver kodeord, der er umulige at huske, så de bliver med garanti skrevet ned.

Det passer jo ikke. Det er bare fordi folk ikke har fået lært at basere deres kodeord på memes de finder på.

Dejskraberen ligger i skuffe nummer 3 i køkkenet => Dlisn3ik Smid et specialtegn eller to ind, og man har et fint kodeord der er nemt at huske.

  • 6
  • 2
#7 Klavs Klavsen

er også alene et udtryk for ringe system design/valg.

Teknologier såsom Kerberos og centraliserede databaser såsom ldap(som f.ex. Windows AD er en implementation af) - gør at man sagtens kan sørge for at ens brugere KUN har 1 password (og en brugerkonto) - og så skal man så bare styre hvilke ressourcer de enkelte har adgang til.

Og når man nu kun skal huske et kodeord, så er det bare at lære folk at bruge "memes" som Adam ganske rigtigt skriver.

et andet eksempel - et mentalt billede af 2 hunde og 1 træ, med reglen at alle tal har et # foran og alle ord starter med store bogstaver:

2Hunde&#!Træ
  • 1
  • 0
#10 Klavs Klavsen

Forudsat at alle virksomhedens systemer kan snakke sammen med den centrale database. Det kniber det ofte med.

Det var så der min kommentar om ringe system/design valg kom ind. Hvis man ved man har behov for en ordentlig omgang med kodeord blandt ens ansatte, er man nødt til at sikre sig at den software man vælger at anvende (eller udvikler selv) er istand til at understøtte det. Det udvikles jo ikke, hvis ikke det er efterspurgt af kunderne.

  • 0
  • 0
#12 Klavs Klavsen

Så har man et password husker system (f.ex. keepass) - med ét godt kodeord til (og gerne 2-faktor autentikation). Mennesker er ikke bygget til at huske mange, ordentlige kodeord - nogen kan selvfølgelig alligvel.

Alle de forskellige passwords beror som oftest bare på at de ikke er opsat korrekt - da stortset alle systemer jeg er stødt på, har kunnet opsættes til at bruge LDAP (og dermed f.ex. Windows AD) som central brugerdatabase.

  • 0
  • 0
#14 Eskild Nielsen

I samme kategori som de 20 kodeord er krav om, at kodeord skal indeholde både store og små bogstaver, cifre og specialtegn. Det giver kodeord, der er umulige at huske, så de bliver med garanti skrevet ned.

Det passer jo ikke. Det er bare fordi folk ikke har fået lært at basere deres kodeord på memes de finder på.

Dejskraberen ligger i skuffe nummer 3 i køkkenet => Dlisn3ik Smid et specialtegn eller to ind, og man har et fint kodeord der er nemt at huske.

4 eller 6 uger senere skal finde på et nyt, som testes for tilstrækkelig afstand til de(t) forrige.

Kombineret med den stress som kan ligge i at man skal ind, men skal skifte passwordet først og de første 5 forsøg på at finde et nyt mislykkes - så ender det med at der skal ske et mirakel når du logger på næste gang.

  • 0
  • 0
#15 Finn Christensen

@Adam og Klavs

'memes' - Dejskraberen ligger i skuffe nummer 3 i køkkenet => Dlisn3ik Smid et specialtegn eller to ind, og man har et fint kodeord der er nemt at huske.

Fint nok, det her dækker måske 15% max. 20% af de kvikke - hvoraf de fleste af dem allerede selv har fundet ud af det forlængst.

Hvad med resten - Hr. og Fru. samt søn og datter frikadelle - de tænker sjældent abstrakt overhovedet i den retning. Samt hele vores særdeles omfangsrige offentlige virksomhed, hvor hovedparten arbejder administrativt, er administrativt uddannet og har hovedinteresse i opgaver og faget - meget meget sjældent i systemerne.

Jeg har dag (nogle år tilbage) oplevet mange systemer, hvor både user og passw var ens og på 3-4 bogstaver... 90% af alle brugerne. Gad vide hvor langt de er kommet i udviklingen i dag ?

  • 0
  • 0
#16 Klavs Klavsen

@eskild: Dem der tvinger en til at skifte kodeord så ofte, har misforstået noget. Se f.ex. http://www.schneier.com/blog/archives/2010/11/changing_passwo.html

Kort sagt - man skifter kodeord når man har en grund til det (f.ex. at en medarbejder der kendte kodeordene har sagt op) - og at bruge en applikation til alle kodeord - med et centralt kodeord - eller endnu bedre - hvor man bare definerer hvilke medarbejderes gpg nøgler der har adgang til at dekryptere den - er klart en bedre strategi.

  • 0
  • 0
#17 Maxx Frøstrup

Hvorfor er det så sjældent der er nogen der tænker på dem som skal bruge systemet, fremfor systemet.

'memes' - Dejskraberen ligger i skuffe nummer 3 i køkkenet => Dlisn3ik Smid et specialtegn eller to ind, og man har et fint kodeord der er nemt at huske.

Det er jo fuldstændig volapyk og giver ingen mening for ihvertfald 90% af mine brugere, hvis ikke 95%. Nu har jeg kørt et lille års tid med 2 tegn fra 3 grupper uden skift. De har 2 systemer at forholde sig til. De lærer det ene password jeg hjælp dem med at lave i sin tid og det er det, hvis de skulle skifte igen, kommer de forbi med udstyret og skal have support.

Efter at have læst krypering for Dummies fra way back, er nok det vigtigeste jeg tager med derfra -> Passphrases.

Seriøst, 2 tegn, 3 grupper mindst 8 er relativ standard og lander gerne i Dlisn3ik typer, eller ligende Ars€n@lvinderFIFA12 måske? Når de er derude alligevel, hvorfor så ikke trække den længere? Dit password skal være superlangt, jo længere jo bedre.....

Såhvisnumitpasswordersuperlangtsåerdetihvertfaldsikkert? Knæk lige det, superlet for brugeren, de banker jo gerne henover tasterne efter en uges tid, glemmer det aldrig, skifter det let og elefant ud med noget nyt tilsvarende. Ja ja der er ikke store småbogstaver i det, men det er vel relativt sikkert?

Finder det så bundsurt når jeg render på systemer der ikke understøtter megalange passwords, men det er nu hvad det er, de er da et skridt i rigtige retning og jeg bliver ikke kaldt paranoid.

  • 0
  • 0
Log ind eller Opret konto for at kommentere