94% af alle passwords er svage

BLOG: Brugere vil - alt andet lige - vælge passwords, der er så ligeså svage som teknikken tillader.
Programmer til at huske og danne stærke passwords kan være nyttige, men der er selvfølgelig både fordele og ulemper ved programmerne.
Skrevet i It-sikkerhed


Af Carsten Jørgensen (3) Send e-mail
Publiceret d. 2. marts 2009 kl. 10.30 | Antal kommentarer (2)
Send Tip en ven Print Udskriv


 
ANNONCE:
For nyligt kikkede Robert Graham nærmere på en liste over 20.000 passwords, der blev offentliggjort efter phpbb.com blev hacket. Artiklen er meget interessant og bekræfter på alle måder at brugere - alt andet lige - vælger meget svage passwords.

Hvor dårlige er koderne i virkligheden?
Som nævnt i mit
tidligere password indlæg bruger man først og fremmest navne, ord og tastatur mønstre ("123456" og "qwerty"), fordi den type koder er lette at huske. Se også et engelsk eksempel på de 500 dårligste kodeord.

De offentliggjorte koder på phpbb var faktisk så svage, at Robert Graham havde 94% match i "hacker" ordbøger. Det betyder mange passwords kan gættes direkte og de naturligvis også kan brydes lynhurtigt med automatiske password gættere.


Tekniske begrænsninger på password styker password
Det 3.mest almindelige password på phpbb.com var "phpbb" (efter "123456" og "password"), da 34.000 Myspace passwords blev phishet i 2006 var passwords som "myspace1" og "password1" de mest populære.
Det interessante er her, at Myspace og Phpbb har forskellig password politik, Myspace passwords skal være "mellem 6 og 10 tegn og indeholde mindst ét tal eller specialtegn". Dette er ikke et krav på phpbb og koderne hos phpbb er derfor gennemsnitligt både kortere og svagere, de fleste koder er i praktisk ord fra ordbøger.


Sammenligning af passwords på Myspace og Phpbb
Top 20 over de mest almindelige passwords på phpbb.com (ingen krav til password kompleksitet):
"123456", "password", "phpbb", "qwerty", "12345", "12345678", "letmein", "1234", "test", "123", "trustno1", "dragon", "abc123", "123456789", "111111", "hello", "monkey", "master", "killer", "123123"

Top 20 mest almindelige passwords på Myspace (teknisk krav om mindst et tal ELLER specialtegn):
password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey.


Minimal styrke
Jeg troede først at Myspace brugeren brugte forholdsvis fornuftige password, men en hurtigt sammenligning nederst i bloggen viser tydeligt, at koderne også er dårlige her og kun lige akkurat opfylder de tekniske krav Myspace stiller. De indbyggede password regler styker passwords, men kun op til den tekniske grænse programmet tvinger brugerne til.


Gør dine koder stærkere
Det er på alle måder en dårlig ide at bruge ord og tastatur kombinationer som password.
Jo mindre vigtig en bruger opfatter en side, jo svagere password vil de typisk bruge, og jo større er sandsynligheden også for, at det samme password bliver genbrugt på mange andre sider. Hvis et password bliver kompromitteret påvirker det selvfølgelig alle de andre steder man har brugt den samme kode.

Problemet er selvfølgelig, at jo stærkere passwordet bliver, jo sværere bliver det at huske for et menneske. Så man kan enten bevidst finde systemer til at vælge stærke passwords (se diskussionen efter http://www.computerworld.dk/ (...) for eksempler), eller man kan vælge at bruge et program til at danne og huske de stærke koder.

Et par gode eksempler på password huskere er Roboform og Password Safe, der begge kan beskytte koderne og kan give adgang til de gemte koder med et "superpassword". Flere programmer kan, udover at huske kodeord, selv danne stærke koder, så der ikke er grund til at genbruge passwords på forskellige sider.

Husk på
Husk på, at du risikerer at miste alle dine passwords på en gang hvis computeren crasher eller du glemmer rod-passwordet til programmet. Sørg for backup...
Programmerne kan påvirke tilgængeligheden, det kan være svært at logge på fra andre maskiner, der findes dog USB versioner af programmerne.
Det er en god ide lige at checke hvordan programmet beskytter koderne. Opbevares koder f.eks. krypteret når de ikke i brug, så koderne er beskyttet hvis computeren bliver stjålet eller man taber sin USB-nøgle.


Sammenligning af kendte passwords fra phpbb.com og Myspace:
Tallet i parentes, feks "phpbb (3)", viser placering på top20 listen, dvs passwordet "phpbb" var det tredje mest almindelige.

phpbb:
Først fjerner vi de - i øvrigt meget svage - passwords der ikke opfylder Myspace reglen om mindst 6 tegn:

phpbb (3) (den aktuelle hjemmeside)
12345 (5) (tastatur kombination)
1234 (8) (tastatur kombination)
test (9) (default test password)
123 (10) (tastatur kombination)
hello (16) (default test password)

Derefter fjerner vi de - svage - passwords, der ikke opfylder Myspace reglen om både tal og bogstaver:
password (2) (default password)
123456 (1) (tastatur kombination)
12345678 (6) (tastatur kombination)
123456789 (14) (tastatur kombination)
123123 (29) (tastatur kombination)
111111 (15) (tastatur kombination)
qwerty (4) (tastatur kombination)
abc123 (13) (tastatur kombination)
letmein (7) (default password)
dragon (12) (default password)
monkey (17) (default password)
master (18) (default password)
killer (19) (default password)

Tilbage er "trustno1" (11), der er et default password (kendt fra bl.a. X-files)


Myspace:
Her fjerner vi først de gamle (eller falske) passwords (alle dårlige), der ikke opfylder Myspace's egne password regler:

password (4) (default password)
123456 (11) (tastatur kombination)
fuckyou (7) (default password, bandeord)
soccer (12) (default password, sport)
monkey (20) (default password, nr. 17 ovenfor)

Tilbage er
password1 (1) (default password + det krævede tal)
abc123 (2) (starten af alfabetet og talrækken - opfylder derved password krav om både tal og bogstaver)
myspace1 (3) (aktuelle hjemmeside + det krævede tal)
blink182 (5) (musik)
qwerty1 (6) (tastatur kombination + det krævede tal)
123abc (8) (starten af talrækken + starten af alfabetet)
baseball1 (9) (sport + det krævede tal)
football1 (10) (sport + det krævede tal)
monkey1 (13) (default ord + det krævede tal)
liverpool1 (14) (sport + det krævede tal)
princess1 (15) (default + ord det krævede tal)
jordan23 (16) (sport, Michael Jordans spiller nummer)
slipknot1 (17) (musik + det krævede tal)
superman1 (18) (navn + det krævede tal)
iloveyou1 (19) (default + det krævede tal)

Læg i øvrigt mærke til, at er brugt tal i stedet for special tegn, og at det krævede tal i alle tilfælde er til sidst i passwordet.

Da Newz.dk blev hacket var "qwerty", "password" og "newz" i øvrigt også på top 4 over de mest almindelige passwords (Newz.dk stiller ikke krav om brug af hverken tal eller special tegn).

Kommentarer til blogindlæg



Per Gøtterup
Jeg har et enkelt sted (kan desværre ikke huske hvor) set at programmøren af site-softwaren simpelt hen brugte John The Ripper til at knække på det valgte password, og hvis den kunne knække det på under 15 sekunder så blev det afvist. Alle ovenstående knækker den på ca. 1 sekund på en hurtig server, så passwords bliver *meget* sikrere på denne måde.
6. marts 2009 kl. 10.51
Anmeld Besvar

Carsten Jørgensen (3)
Per Gøtterup skrev:
Jeg har et enkelt sted (kan desværre ikke huske hvor) set at programmøren af site-softwaren simpelt hen brugte John The Ripper til at knække på det valgte password


Og samtidig er det et argument for ikke at genbruge passwords på forskellige sider...

6. marts 2009 kl. 13.13
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Mere fra It-sikkerhed


Ønsker til databeskyttelsen
På en række områder har dansk lovgivning et højt niveau for databeskyttelse. Når der lægges op til yderligere harmonisering i EU opfordrer Datatilsynet til, at man fra dansk side arbejder for et retsgrundlag, der ikke tvinger beskyttelsen af personoplysninger i Danmark ned på et lavere niveau.
3. februar 2011 kl. 13.30 | læs »



Få indblik i Stuxnet
Stuxnet-ormen har lagt Mærsk og Siemens' fabrikssystemer ned, og den er blevet udråbt til en af de værste sikkerhedstrusler i 10 år. Her kan du få et indblik i, hvordan den virker.
15. november 2010 kl. 12.39 | læs »



Mere viden er en nødvendighed
Personers ret til privatliv og databeskyttelse er grundlæggende. Det fremgår nu også af It-politisk redegørelse, at beskyttelse af privatliv og personoplysninger bør være en integreret del af digitaliseringsprojekter. Men der er også brug for kompetencer og viden om beskyttelse af personoplysninger og privatliv. Som eksempel omtales en konkret sag fra Datatilsynets hverdag
5. maj 2010 kl. 13.15 | læs »



Stjålne data: Helliger målet midlet?
Kan man købe stjålne data til at bekæmpe skattesnyd? Det er der stor uenighed om.
10. februar 2010 kl. 15.10 | læs »



I dag er det Databeskyttelsesdag
28. januar 2010 kl. 10.00 | læs »




It-sikkerhed







Carsten Jørgensen (3)
Carsten Jørgensen er bl.a. CISSP, CISA og CISM. Han har beskæftiget sig med sikkerhed på fuld tid siden 1999 og arbejder i dag som it-sikkerhedschef i Falck.

I sin fritid driver han hjemmesiderne CloudSecurity.dk og ComputerForensics.dk. Carsten er facilitator for Dansk-IT's kompetancenetværk for Cloud Computing og virtualisering, han underviser i it-sikkerhed på DIKU.

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Så er det nu: IBM sætter 198 mand på porten
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Læs mere

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Læs mere

Her er forklaringen på IBM Danmarks massefyringer
Her er forklaringen på, at IBM Danmark med direktør Lars Mikkelgaard-Jensen i spidsen fyrer 170 medarbejdere.
Læs mere

IBM Danmark fyrer 170 mand
IBM Danmark lader hovederne rulle.
Læs mere