Password og cybersecurity med Harry Potter
Enhver tilpas avanceret teknologi er uadskillelig fra magi sagde Arthur C. Clarke i 1962 i bogen “Profiles of the Future: An Inquiry into the Limits of the Possible”
Harry Potter er måske nok en fantasy-serie, men i denne blog prøver vi lige at udskifte magi med it for at se, hvad vi kan lære om cybersecurity. For Harry Potter indeholder både password-filosofi, hacking(-beskyttelse) og digital overvågning - og måske kunne de bruge mere diversitet i ministeriet for magi?
Spoiler-alert: Der er afsløringer fra bog 3,5 og 7, men hvis du i øvrigt ikke er lige så distræt som mig, gør det sikkert ikke noget. Det er hurtigt glemt igen. Desuden giver meget af denne blog sikkert ikke mening, hvis du ikke allerede har læst nogle af Harry Potter-bøgerne.
Som mange andre forældre har jeg hygget mig med at læse Harry Potter højt for ungerne, efter at have hygget mig med at læse bøgerne i min sene ungdom.
Men en ting jeg lagde mærke til i anden omgang var, hvor forskelligartet passwordsne var konstrueret i bøgerne - både ind til forstanderen, de forskellige kollegier samt de magiske artefakter der er gemt i diverse hemmelige rum i den magiske verden.
Tænk Sci-fi i stedet for Fantasy
Hvis vi nu lige tænker Harry Potter-serien som en sci-fi-bog og ikke en fantasy-bog, så kan vi måske bruge den til at snakke cybersikkerhed med vores unger - og hinanden? Det er jo en udfordring for en it-arbejder, så på med handsken.
Og da jeg først gik systematisk til værks med at analysere aktuelle it-problematikker i bogen var det som om en hel verden af aktuelle it-problematikker åbnede sig. Og aktuelle er de - tænk bare det store cyberangreb på Vestas og debatten om hvordan embedsværket bedst sikrer fortrolige oplysninger på fx sms.
Den oplevelse har jeg forsøgt at diskutere i denne Harry Potter podcast med Hannah McGregor og Marcelle Kosman, der læser Harry Potter med forskellige teoretiske briller på højt niveau.
Den er dog en betalings-podcast, så I får lige hovedpointerne her i bloggen.
For at forstå en del af konteksten, skal vi tilbage til sen-90’erne og de tidlige 0’er for at sætte os ind i hvilken tid J. K. Rowling skrev i. Folk havde nu mobiltelefoner og smartphonens neandertal, Blackberry, var på markedet og internettet var hvermandseje. Kunstig intelligens og meget af den maskinlæring-teknologi vi bruger i dag var udviklet, og Storbritannien var som sædvanligt voldsomt overvåget.
Gode password, ringe passwords - og virkeligt ringe passwords
Normalt siger man at passwords udgøres af en eller flere af følgende: Noget du ved, noget du har eller noget du er. Alle elementer er faktisk til stede i serien.
Der er flere temmeligt ringe passwords - eller adgangskoder i Harry Potter i første kategori.
Fx har rektoren, Dumbledore, notorisk ringe passwords. De er alle opkaldt efter hans yndlingsdesserter. På den måde skriver han sig ind i historien med ledere som fx Trumps password der blev gættet og Kosovos præsident, der på en eller anden måde må tro at de er uindtagelige?
På samme vis har Slytherins kollegie “Mudderblod” som password, hvilket man, taget deres lidt fascistiske adfærd taget i betragtning, måske kunne gætte.
Harry Potters eget kollegie, Gryffindor, beskyttes af “den fede dame”, der har nogle fine, rimeligt tilfældige ord som adgangskoder. Men da hun på et tidspunkt bliver skadet, overtager et andet maleri sikkerheden (Sir Cardigan) og han skifter konstant adgangskoder, og bruger nogle virkeligt snørklede ord.
Det ender selvfølgelig med at den distræte dreng i klassen, Neville Longbottom, skriver det ned på en seddel, som kommer i hænderne på den forkerte (Ormehale), der stille og roligt kan bryde ind.
Denne konstante fornyelse af password er jo en omdiskuteret trend der har været brugt i forskellige organisationer. Men konsensus er vist efterhånden at det ikke giver mening konstant at skifte password - netop fordi det ender med at folk skriver dem ned.
Egentlig er det sjovt at der ikke er biometrisk adgangskode, som man ser senere i serien hos ministeriet for magi - det er kun Harry Potter og Voldemort (den onde) der kan høre profetien ved at røre ved den. men måske skyldes det i virkeligheden at bogen blev skrevet på et tidspunkt hvor ansigtsgenkendelse var det nye, og ved at komme i drift rundt omkring i den virkelige verden (eller mugglere, hvis nu vi skal blive i HP-universet).
Gryffindors sværd kan også genkende Gryffindor-elever, så teknologien, undskyld, magien, har ikke været ukendt på Hogwarts. Måske kan det skyldes at Dumbledore er imod biometrisk overvågning?
Flerfaktor-godkendelser
Ret skal være ret. Der er også ganske avanceret adgangskontroller. For eksempel er de vises sten beskyttet af en avanceret flerfaktor-godkendelse med både gåder, fysiske elementer og en form for biometrisk godkendelse - kun dem der ikke ønsker at bruge stenen kan få den.
Profetierne (bog 5) er også godt beskyttet af ganske mange faktorer i ministeriet for magi. I begge tilfælde er det dog så besværlige foranstaltninger, at man formentlig ville prøve at slå dem fra, hvis det var rum man skulle tilgå ofte. Eller man kunne ende med samme problematik som Sir Cardogan - altså at man bare skriver adgangsprocessen ned på et stykke papir.
Diversitet i magi-sikkerhedsudvikling
Man kan jo ikke lade være med at undres over hvorledes visse ting er enormt velbeskyttet af ministeriet for magi (profetierne, fx) mens det er forholdsvist nemt at bryde ind på folks kontorer - hvis der var en god beskyttelse har de formentlig fjernet den fordi det var bøvlet?
Man tænker - måske burde Ministeriet for magi have større diversitet i deres sikkerheds-udvalg? Det virker som om der er en ok kønsdiversitet, men måske burde de have nogle flere mugglerfødte, eller ligefrem en enkelt muggler med speciale i it-sikkerhed med? Måske skulle de også have Gringot-bank-nisserne med, der jo har et rimeligt sindrigt sikkerhedssystem for troldmændenes bankbokse?
Og måske et par husalfe, der i hvert fald kan en hulens masse magi - helt uden tryllestave.
Det kunne formentlig give en noget bedre, mere effektivt og bredere beskyttelse mod indtrængen. Og måske kunne de bidrage med erfaringer fra deres virkelighed til fremstilling af nye magiske artefakter?
Overvågning og tryllestavens rolle
En særlig pudsig parallel er tryllestaven. Med sådan en, kan ministeriet for magi straks advare/smide umyndige elever ud, der bruger magi uden for skolen. Men hey - de onde fiser bare rundt og smider om sig med spells uden at blive forfulgt. Det er egentlig nogle pudsige prioriteringer.
Da endelig Voldemort er ved magten i bog 7, sørger han for at hans navn er “tabu” altså - hvis man udtaler hans navn, bliver ens lokation identificeret og der kommer nogle ubehagelige fætre efter én.
Det kan jeg næsten kun læse som om der er en slags talegenkendelse i tryllestaven, hvilket for øvrigt også giver mening i forhold til at man skal aktivere tryllestaven ved at sige en besværgelse. “Alexa - expeliarmus”. Og man kan desuden ved hjælp af en særlig ministeriel besværgelse se de seneste besværgelser der er brugt med tryllestaven.
Bog 7 blev skrevet omkring 2006, og talegenkendelse var vist ikke en hverdagsting dér, men teknologien var opfundet, så det kunne forfatteren godt have tænkt i.
En bagdør og en risikoanalyse
En sidste lidt kryptisk parallel man kan lære lidt af er Harry Potters evne til at se ind i Voldemorts sind - og i praksis ud gennem hans øjne. På en måde er det faktisk en “bagdør” som Harry fik med da Voldemort prøvede at dræbe ham som 1-årig.
Bagdøren viser sig praktisk at have da Harrys gode vens far, Arthur Weasly ligger og er ved at dø af slangebid, men Dumbledore kan godt gennemskue at det ikke kun er praktisk at kunne se ind i Voldemorts sind. På sin vis optræder Harry Potter her som white hat hacker, altså en etisk hacker - eller måske grå,. da Voldemort jo ikke ligefrem har bedt om det? Det må der være nogle læsere der kan give et bud på!
En sådan bagdør er praktisk, men kan også udgøre et problem hvis den bliver opdaget. Fx lader Voldemort Harry Potter se sin gudfar Sirius Black blive tortureret, da han bliver opmærksom på problemet.
Det har Dumbledore forudset og lader Harry Potter få timer i såkaldt “Okklumensi”, der handler om at få lukket bagdøren i Harrys hoved. Man kan så ikke udnytte den, men slipper også for at blive "taget". Uheldigvis blev bagdøren ikke lukket, så Harry iler i god tro af sted for at redde Sirius.
Kan man slette magiske beviser?
En meget aktuel sag er de 30 dages sletning af SMS’er. Kan man i 2020 faktisk bare slette de bitstrenge der udgør SMS’er som udveksles i statsministeriet?
Man kan jo faktisk altid finde ud af hvilke besværgelser en tryllestav netop har kastet a sted. Men man kan også bare smadre en profeti-kugle - og så ER profetien der ikke mere. Med mindre man har sørget for at tage en backup.
Det havde Dumbledore heldigvis.
Mere inspiration i samme spor, kan man læse indlægget af Poul-Henning Kamp, der tidligere har sammenlignet Edward Snowdens selvbiografi med Harry Potter.
Klummen her er blevet til efter grundig granskning af Harry Potter samt konsultation med Irfan Kanat der er adjunkt på CBS med speciale i bl.a. cybersecurity.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.