Kan jeg gætte dit password?

BLOG: Er dit kodeord dårligere end du tror?

Mennesker har det grundlæggende svært med passwords: vi er ekstremt dårlige til at finde på virkelig unikke kodeord - og vi er endnu dårligere til at huske dem. Det betyder at vi alle er nødt til at opfinde systemer til at huske koderne - men mange systemer er heller ikke særligt gode.
Skrevet i It-sikkerhed


Af Carsten Jørgensen (3) Send e-mail
Publiceret d. 21. oktober 2008 kl. 09.14 | Antal kommentarer (8)
Send Tip en ven Print Udskriv


 
ANNONCE:
Svage passwords er en af de ældste sårbarheder der findes. Det er der selvfølgelig en grund til: med mindre vi bliver tvunget - eller undervist - i andet, så vælger vi password efter dette mønster:

Ingen koder
Hvis man giver en bruger frit valg vil alle brugere selvfølgelig, alt andet lige, vælge at ikke bruge passwords, fordi det er det mest brugervenlige, dvs. letteste.

Almindelige ord
Hvis systemet tvinger til at bruge et kodeord, er første problem hvordan man selv husker sin kode. Så man vælger i første omgang sin kode ud fra, om man tror man kan huske den, ikke fordi man tænker på sikkerhed.

Udover at skrive koden ned har man derfor to valg:
1) Vælge noget man tit tænker på eller noget der passer til login situationen
2) Opfind et system eller en model, så man kan huske koden

Koder der passer til situationen er f.eks. "Admin" eller "Administrator" når man logger på som administrator, og "Cisco" når man logger på routeren. Men det gør du selvfølgelig ikke, vel?

Den anden mulighed er, at vælge man tænker på ofte - og derfor er let at huske. Det er typisk noget personligt, navnet på et familiemedlem , et kæledyr, eller ens arbejde, hobbyer og fødselsdage er andre typiske personlige valg. Hvis man kender en smule til en bruger er det typisk let at gætte hvilket kodeord der er valgt. Ellers findes der masser af ordlister på Internettet en angriber kan bruge.

Det "svære" kodeord - dit eget system
Alle brugertest viser, at har man først hørt om sikkerhedsproblemer ved svage kodeord, har man sjældent problemer med at vælge ganske lange kombinationer at både tal og bogstaver som kodeord, når bare man selv kan vælge koden.
Når man begynder at blande tal og bogstaver bliver koden svær at huske og man er derfor nødt til at opfinde et system for at kunne huske kodeordet. Det er derfor det er vigtigt man selv kan vælge koden.

Koder der blander tal og bogstaver er bedre end personlig information eller almindelige ord som kode. Men desværre er vi mennesker utroligt dårlige til at finde på rigtigt unik information. Og det gælder selvfølgelig også for vores password systemer, de er sjældent unikke - med mindre man virkelig gør sig umage. Derfor kan man stadig tit gætte "svære" kodeord.

Hvad er sandsynligheden for at gætte din PIN-kode hvis du selv har valgt dine 4 tal?

For eksempel er sandsynligheden for at gætte en selvvalgt PIN-kode i første forsøg ikke 1 til 10.000 men langt lavere. Det er selvfølgelig fordi mange af de mulige tal-kombinationer umiddelbart er svære at huske.

Rigtig mange vælger fortløbende koder: "1234", "4321" eller "5678", andre vælger gentagne tal: "1111" eller "4444". To sæt er også meget almindeligt: "5566" og "6969". Endelig er der sigende kombinationer som "1945" (årstal) og selvfølgelig datoer "0204" (2.april). Derfor vil der være mange flere PIN-koder der starter med tal mellem 01 og 31, end der vil være koder der starter med tal mellem 32 og 99.

Systemer er sjældent helt unikke
Det typiske man gør som bruger er, at beholde noget man kan huske og så sætte "noget svært" på bagefter. Ca. 2/3 bruger et tal som rod, dvs. hvis koden var "Fido", bliver den nye kode "Fido123" med roden "123". Man skriver næsten aldrig "123Fido" (kun ca. 10% har "den svære del" før stammen) og man vælger derfor selvfølgelig også "Fido01" hvis der skal skiftes kodeord hver måned, ikke "01Fido".

Hvis der ikke er krav til antallet af tal i kodeordet bruger de fleste et eller to tal som tillæg, dvs. mellem 0 og 99, de mest almindeligt er "1", "2", "3" (de fleste bruger "1"). Tal kommer meget sjældent over 4 cifre ("123" er meget almindeligt, og "1234" er betydeligt mere almindeligt end "12345"). Årstal og datoer er selvfølgelig altid meget brugt, f.eks. fødselsår og årstallet passwordet blev oprettet.

Hvis der er krav om både store og små bogstaver er det typisk det første bogstav der bliver skrevet med stort, så det er mere almindeligt at skrive "Admin" end "admiN" eller "adMin".

Det "avancerede" kodeord
Avancerede koder bliver især brugt af it-folk. Vi har typisk (ligesom næsten alle andre)
valgt en stamme vi kan huske (måske ikke "Fido", men så en kombination af bogstaver der er sigende for os) og derefter sat en rod på (123). men vi vil gerne være sikre så vi bruger også et par special tegn som tillæg, her er "!!" og "**" er altid gode valg.

Har jeg gættet din kode, eller har du et godt system du vil dele som inspiration for andre?

Kommentarer til blogindlæg



Henrik Enevoldsen
Kombiner din kode med store samt små bukstaver læg lidt tal ind i samt specialtegn så tror jeg at man står lidt stærkt. Eksempel.ComPW@r8.
typisk bruger firmaer Admin hvilket er ret usmart da det jo er standart. brug eks. nimaD. Lav en black box et sted i firmaet og læg koderne i den, skulle koden smutte så kontakt de leder som har adgang til denne black box. Bare husk at jo svære du gær det for hacker jo sværer gør du det for dig selv, derfor blackbox.
er lidt mat smutter under dynen igen.
21. oktober 2008 kl. 09.53
Anmeld Besvar

Kim Schulz
hvis jeg selv skal finde på en ny kode er det typisk ud fra følgende system:
- find en sætning som betyder noget for mig, men ikke nødvendigvis er noget jeg bruger i det daglige.
Eks: "it sikkerhed er vigtigt"
- tag første bogstav i hvert ord og smid resten væk (er det en kort sætning så tag f.eks. første og sidst bogstav)
Eks: "isev"
- gør hvert andet bogstav uppercase.
Eks: "IsEv"
- find et tal som kan huskes (f.eks. et familiemedlems telefonnummer).
Eks: "34651053"
- alt efter længden sættes der 1-2 cifre fra tallet ind mellem bogstaverne fra tidligere.
Eks: 34I65s10E53v
- Lav hvert anden blok af tal om til de tegn der opstår når man holder shift nede og skriver dem
Eks: 34I&%s10E%#v

Koden er måske nok svær at huske hvis man ikke bruger den tit, men den kan let genskabes hvis man blot husker på huskereglerne. Du kan endda skrive reglerne ned (ikke sætning og tal) uden at forringe sikkerheden ret meget.

En anden klassiker er at finde en sætnings som kan oversættes til tegn og andet.
Eks: "3 kasser sodavand" bliver til "tre#@H2O" (sodavand aka snabelvand)
21. oktober 2008 kl. 10.10
Anmeld Besvar

Claus Juul
Claus Juul bliver til C1@4§_¤

Og skulle ens base ord indeholde ti ni træ tre tree to en et kan man erstatte med det tal evt. tal+1 eller brug shift eller kombinere.

tigerbutik kunne blive til !1g=bu10k
21. oktober 2008 kl. 10.48
Anmeld Besvar

Thomas Dybdahl Ahle
Uha, det er jo farligt sådan at afsløre sine kodesystemer.
Men nogen gange bruger jeg også bare meget lange sætninger, som jeg lige tænker på, og som er så lange, at jeg ikke tror nogen crackere gidder at prøve sig frem. F.eks. "hvadskaljegdogvælgesomkodeidag"
21. oktober 2008 kl. 10.56
Anmeld Besvar

Jens Olav
Denne artikel er interessant i denne forbindelse:
http://www.baekdal.com/ (...)
21. oktober 2008 kl. 11.10
Anmeld Besvar

Leif Schou
Og så kommer balladen med at huske alle de logins og koder man er afhængig af i dagligdagen. De er jo selvfølgelig unikke, hvorfor man nemt skal overskue et halvt hundrede koder med al den online aktivitet. Jeg har længe brugt KeePass, lille open source ting, som samler alle logins under ét. Programmet er nemt at bruge og formodenligt lige så sikkert som den masterkey men anvender, kan køres fra USB-stick osv. Men - er det nu også sikkert nok, nogen som har erfaringer her?
21. oktober 2008 kl. 11.27
Anmeld Besvar

ebbe hansen
sæt ikke to men tre Bussemænd under Tastaturet

si2m3BuT

hans Kone hendes Elsker og to tre andre

hKhEo23a evt hKhE&23a

Vrøvlesætninger, der er nemme at huske, giver de dejligste password, der idm ikke kan gættes ud fra kendskab til brugeren eller arbejdet. Og de er svære at få has på med brute force.

Jeg må indrømme at jeg er svoren tilhænger af genbrug af passwords....... Jeg husker ikke godt nok til dem alle 50, og sikkerheden krymper, når de bliver skrevet ned.
21. oktober 2008 kl. 13.06
Anmeld Besvar

Thomas Larsen
eller

Tag navnet på din hund, eller andet gammelt kæledyr. tilføj nogle bogstaver eller tal der siger dig noget. gerne midt i mellem. f. eks.
hund = vuffer
gammel dankort kode som du aldrig glemmer = 2121
hus nummer = 99

21vuf99feR21

der er mange redskaber, så længe de giver mening for dig og ikke kan gættes nemt, så skulle du være sikker.

en standard bruteforce hacker vil sætte følgende settings

ordliste samt ordliste samt 0-8 vilkårlige tegn.

prøver man mere end det, så kommer det til at tage en evighed. hvilket det sådan set gør allerede når man går over 7 tegn + et par ordlister.


Next best rule. Fortæl aldrig omverden om din sikkerhedspolitik. f. eks. i vores virksomhed kræver vi STORE og små bogstaver samt mindst et tal og et spcial tegn.

gør man det, så vil man med det samme udelukke alle kombinationer der ikke matcher reglen.. dvs. man skære gevaldigt ned i mængden af mulige kombinationer som hackeren skal prøve
22. oktober 2008 kl. 15.22
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Mere fra It-sikkerhed


Ønsker til databeskyttelsen
På en række områder har dansk lovgivning et højt niveau for databeskyttelse. Når der lægges op til yderligere harmonisering i EU opfordrer Datatilsynet til, at man fra dansk side arbejder for et retsgrundlag, der ikke tvinger beskyttelsen af personoplysninger i Danmark ned på et lavere niveau.
3. februar 2011 kl. 13.30 | læs »



Få indblik i Stuxnet
Stuxnet-ormen har lagt Mærsk og Siemens' fabrikssystemer ned, og den er blevet udråbt til en af de værste sikkerhedstrusler i 10 år. Her kan du få et indblik i, hvordan den virker.
15. november 2010 kl. 12.39 | læs »



Mere viden er en nødvendighed
Personers ret til privatliv og databeskyttelse er grundlæggende. Det fremgår nu også af It-politisk redegørelse, at beskyttelse af privatliv og personoplysninger bør være en integreret del af digitaliseringsprojekter. Men der er også brug for kompetencer og viden om beskyttelse af personoplysninger og privatliv. Som eksempel omtales en konkret sag fra Datatilsynets hverdag
5. maj 2010 kl. 13.15 | læs »



Stjålne data: Helliger målet midlet?
Kan man købe stjålne data til at bekæmpe skattesnyd? Det er der stor uenighed om.
10. februar 2010 kl. 15.10 | læs »



I dag er det Databeskyttelsesdag
28. januar 2010 kl. 10.00 | læs »




It-sikkerhed







Carsten Jørgensen (3)
Carsten Jørgensen er bl.a. CISSP, CISA og CISM. Han har beskæftiget sig med sikkerhed på fuld tid siden 1999 og arbejder i dag som it-sikkerhedschef i Falck.

I sin fritid driver han hjemmesiderne CloudSecurity.dk og ComputerForensics.dk. Carsten er facilitator for Dansk-IT's kompetancenetværk for Cloud Computing og virtualisering, han underviser i it-sikkerhed på DIKU.

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Så er det nu: IBM sætter 198 mand på porten
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Læs mere

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Læs mere

Her er forklaringen på IBM Danmarks massefyringer
Her er forklaringen på, at IBM Danmark med direktør Lars Mikkelgaard-Jensen i spidsen fyrer 170 medarbejdere.
Læs mere

IBM Danmark fyrer 170 mand
IBM Danmark lader hovederne rulle.
Læs mere