Skriv dit password ned

Efterhånden har jeg fået så mange passwords, at det er umuligt at huske dem alle. Så nu er jeg begyndt at gøre det, som man ellers ikke må. Jeg er begyndt at skrive dem ned.

For nylig så jeg for første gang en af de berømte gule Post-it med et brugernavn og et password siddende på en computer. Da jeg spurgte ejeren om det, bedyrede hun straks, at det selvfølgelig ikke var til hendes bærbare, men til et system, som hun skulle på. Jeg ved ikke helt, om det gør sagen meget bedre.

Jeg har selvfølgelig fundet en bedre løsning hjulpet af sikkerhedseksperten Bruce Schneier, der har skrevet et lille program, Password Safe til at huske brugernavn og password med. Password Safe er i alt sin enkelthed en lille database, der er krypteret med Schneiers egen anerkendte algoritme Twofish.

Til orientering er Twofish en block cipher, der oven i købet var af de fem finalister i Advanced Encryption Standard (AES)-konkurrencen om at finde en afløser til DES. Desuden er Twofish upatenteret, og der er ingen licens på koden.

Du kan både installere Pasword Safe lokalt og på en USB-nøgle, og så er programmet endda open source.

Hvad gør du for at huske alle dine passwords?

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Adam Tulinius

.. det var dog en ringe løsning. På den måde skal du bare miste det ene password der beskytter resten af dine passwords, og vupti, så er alle de systemer du har adgang til kompromitteret :|

  • 0
  • 0
Jesper Laisen

Ind til videre har jeg kun lagt passwords i databasen, som ikke er vigtige. Det er der, hvor behovet er, fordi der er så mange.
Hvis jeg havde tilstrækkeligt mange passwords til vigtige systemer, så ville jeg formentlig vælge samme løsning.
Men jeg hører gerne bedre løsninger.

  • 0
  • 0
Martin Clausen

Tja, måske er selve krypteringsalgoritmen ikke så interessant... Måske er det mere interessant hvordan selve krypteringsnøglen genereres ud fra ens kodeord samt hvilke mekanismer programmet implementerer mod "gætning" af kodeordet... Schneier har sikkert tænkt over tingene, men det er det måske andre programmer (fx KeePass?) der ikke har.

Personligt synes jeg sådanne programmer er en udmærket pragmatisk løsning til at gemme alle de kodeord man får samlet sammen - indtil man kan burge sin digital signatur over alt (aldrig?). Det bliver noget nemmere at "huske" 20 gode kodeord fremfor fx at genbruge det samme "sikre" kodeord 20 steder. Man skal naturligvis have a godt, langt kodeord til selve databasen - og så huske at lave backup af den.

  • 0
  • 0
Thomas Kjeldsen

Jeg strikkede en clientside webdims sammen i efteråret, der gør brug af http://www.fourmilab.ch/javascrypt/. Javascrypt er en javascript implementation af AES. Kodeord gemmes i en html-fil og knyttes til et billede som jeg på en eller anden måde relaterer til et system. På den måde skal en angriber knække det krypterede kodeord, og dernæst gætte hvilket system kodeordet hører til, førend jeg har tabt. Ulempen er naturligvis at det krypterede materiale er frit tilgængeligt.

Jeg har lagt en demo på http://www.cs.aau.dk/~tlk/reminder/ - skriv "1234" i inputfeltet øverst på siden, og tryk dernæst på et af billederne for at prøve det.

Det tager måske fem minutter at lægge et nyt kodeord ind, og det kræver at jeg har min laptop med mig. Til gengæld kan jeg læse kodeord fra hvorsomhelst der er internetadgang.

Bemærk venligst at jeg ikke kunne finde på at bruge ovenstående til noget erhvervsrelateret :-)

Men ellers lader jeg firefox gemme de kodeord den kan. Man kan så bruge googles firefox udvidelse "browsersync" til at synkronisere browserindstillinger, inkl kodeord, mellem forskellige computere hvis man vil det. Hvis jeg mister de gemte kodeord i firefox er der som regel en fallback løsning på forskellige websites, sådan at man kan få tilsendt nyt kodeord via mail. Det kræver normalt ikke mere end et par forsøg at gætte hvilken emailadresse jeg brugte oprindeligt.

  • 0
  • 0
Henrik Kramshøj Blogger

Jeg vil blot lige følge op på denne tråd og bakke op om brugen af kodeordshuskere.

Kodeordshuskere er nødvendige og det er for de fleste mennesker nødvendigt at skrive kodeord ned. Dem der argumenterer imod dette er ikke realister - indse det før det er for sent!

Det man skal huske er at bruge et specialiseret program til dette, fremfor en Wordfil der er beskyttet med kodeord.

Jesper angiver PasswordSafe som er et program jeg også har anbefalet i flere år. Selv bruger jeg Keychain Access som er indbygget i Mac OS X, men der findes også Firefox som har indbygget denne funktionalitet.

Når man bruger kodeordshusker kan man undgå at glemme kodeord som man bruger sjældent. Man kan bruge forskellige kodeord til de forskellige services man bruger på nettet. Andre kan ikke nemt få adgang til hele nøgleringen.

Man kan bruge et stærkt kodeord/pass phrase til at åbne for nøgleringen - et kodeord som man bruger ofte og derfor ikke glemmer.

Det er den bedste måde at gøre det på og anbefales af førende eksperter som Bruce Schneier. Jesper og mig er så ikke hans kaliber, men dog professionelle der har arbejdet med IT-sikkerhed "længe nok" til at indse det ;-)

  • 0
  • 0
Peter Mønnike

Jeg skal ikke kunne sige, om jeg har en password autisme eller om I andre blot har flere passwords at holde styr på end jeg, men jeg bruger kun hukommelsen.

Jeg benytter en selvudviklet teknik til at skabe et password jeg kan relatere til det enkelte system, dets funktion eller noget helt tredje, dernæst "leetspeaker" jeg det til en kombination af tegn, bogstaver og tal.

Det fungerer efter hensigten.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize