CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Her er Danmarks fem bedste CIO’er lige nu:Se de fem nominerede til prisen som Årets CIO 2024

Artikel top billede

Små bogstaver er meget nemmere at huske: Sådan kan en ny politik for sikre adgangskoder se ud

Klumme: Hvordan finder man frem til den bedste politik for adgangskoder, som brugerne bliver glade for? Svært, men ikke umuligt. Mange små bogstaver er svaret.

4. december 2017 kl. 09.45
Martin Hansen Martin Hansen Security Architect hos SE

Det er svært at finde frem til den korrekte politik for adgangskoder - altså hvilke krav, brugerne teknisk skal tvinges til at overholde.

Derfor vil jeg gerne dele nogle af de tanker, som jeg har gjort mig i forbindelse med dette - dermed ikke sagt, at jeg giver svaret på den adgangskodepolitik, som I skal implementere hos jer, da der kan være mange situationer, der skal tages stilling til.

Det gælder ikke mindst brugerne, som skal underlægges disse krav.

Et af de primære problemer med adgangskoder er, at brugeren skal kunne huske adgangskoden. Så det spørgsmål, jeg forsøger at svare på, er:

”Hvordan udarbejder vi en adgangskodepolitik, som kan hjælpe brugeren med at huske sin adgangskode og som samtidig hjælper brugeren til at konstruere en stærk adgangskode?”

Ved en stærk adgangskode forstår jeg en kode, som ikke er let for en angriber at cracke.

Baggrund

I denne klumme har jeg taget udgangspunkt i et Windows-miljø, hvor det er lykkedes angriberne at stjæle NTLM-hashes, og som herefter forsøger at cracke disse.

Dette kan enten være ved at stjæle NTDS.dit eller få adgang til hukommelsen på en Windows-maskine. Dette er dog ikke noget, jeg vil beskrive nærmere her.

Hvilken politik?

Når jeg tænker adgangskoder og grader af kompleksitet, handler det ofte om antal små bogstaver, store bogstaver, tal og specieltegn.

Dette giver os cirka 82 (26+26+10+20) forskellige tegn at benytte til at konstruere vores adgangskode

Bemærk, at dette er en grov vurdering. Meningen er ikke at gå ind i en diskussion om at benytte kinesiske tegn og andet.

Jeg vil her forsøge at vise forskellen på den klassiske måde at konstruere adgangskoder og  den nye metode.

Den klassiske metode er at benytte store bogstaver, tal og specialtegn, mens den nye metode fokuserer på at konstruere længere adgangskoder uden kompleksitet samt at øge udløbstiden.

Dette kunne eksempelvis være:

Jeg vil beregne mig frem til hvor mange karakterer, man bør benytte i forhold til den nye metode.

Nedenstående figur viser, hvor mange forskellige adgangskoder man kan opbygge ved at fokusere på kompleksiteten i forhold til store og små bogstaver, tal og specieltegn.

De samlede antal mulige kombinationer ved den klassiske metode udgør 2.044.140.858.654.980 forskellige adgangskoder (82^8).

Den røde cirkel viser det reelle tal, da den klassiske kompleksitet kun kræver tre af de fire ovenstående kategorier, så der er reelt ikke mange, som benytter specialtegn.

Hvor mange karakterer bør vi så sætte kravet til ved den nye metode?

Nedenstående figur viser antallet af mulige forskellige adgangskoder ved kun at benytte små bogstaver.

Hvis der kun benyttes små karakterer, kan vi her se, at der ved 10 karakterer er mulighed for 141.167.095.653.376 forskellige adgangskoder.

Ved 11 karakterer er der mulighed for 3.670.344.486.987.780 forskellige adgangskoder.

Det kan ses af nedenstående figur, at de to ”illustrationer” mødes ved otte karakterer med kompleksitet og 11 karakterer kun små bogstaver.

For så at tilføje det sidste aspekt med udløb, vil det være interessant at se på, hvor lang til det vil tage at cracke en adgangskode.

Udløbstid

Til dette formål konstrueres der maskiner med det enkle formål at cracke adgangskoder, Brutalis er en af disse maskiner.

Læs gerne mere om denne maskine på https://sagitta.pw/hardware/gpu-compute-nodes/brutalis/ ... tag gerne også et kig på prisen.

Den skulle kunne teste 330.000.000.000 NTLM-adgangskode-hashes i sekundet.

Hvis vi kigger på, hvor lang tid denne maskine vil skulle bruge på at lave et brute force-angreb imod ovenstående adgangskodepolitikker, ville det kun tage omkring 1,7 time at bryde den klassiske (8 karakterer) og cirka 3 timer at bryde den nye metode (ved 11 karakterer).

Når vi ser på den klassiske metode med kompleksitet, kan vi af nedenstående graf se, at det tager under et år at cracke en adgangskode på 9 karakterer.

Hvis vi skal op på et år eller mere, skal vi benytte 10 karakterer og helst 11. Dette skyldes, at der stadig er en betydelig risiko for, at en adgangskode vil kunne crackes ved 10 karakterer - dette vil tage 1,32 år.

Nedenstående graf viser i år, hvor lang tid det vil tage at cracke adgangskoder i forhold til den nye metode. Vi vil derfor skulle op på minimum 14 karakterer for at sikre, at det tager mere end et år.

I forhold til ovenstående illustrationer anbefaler jeg, at man vælger en adgangskodelængde på 13 karakterer, hvis man vælger at benytte den klassiske metode

I det tilfælde vil det så tage cirka 730.000 år at cracke en adgangskode, altså en risiko på 0,00003 procent.

Ved den nye metode vil jeg anbefale en adgangskodelængde på 18 karakterer og udløb på 365 dage. Sådan en kode vil tage cirka 3 millioner år at cracke, altså igen en risiko på 0,00003 procent.

Risikoen har jeg beregnet ved at tage udløbstiden og dividere med det antal dage, det tager at cracke en adgangskode. Dette kan man så eventuelt efterfølgende gange op med antallet af brugere.

Så hvis vi vender tilbage til ”problemet”, så er det, at vi mennesker skal kunne huske vores adgangskode.

Jeg vil mene, at vi har en individuel procedure for, hvordan vi gør.

Så hvis vi står imellem valget af de to mulige adgangskodepolitikker i skemaet her, vil jeg anbefale at benytte den nye metode.

Jeg vil påstå, at det er langt lettere at huske en tekststreng bestående af kun små bogstaver frem for en tekststreng bestående af både store og små bogstaver samt tal og specialtegn.

Det skal selvfølgelig nævnes, at en adgangskodepolitik aldrig kan fungere alene.

Det kræver også, at man uddanner brugerne i, hvordan en stærk adgangskode vælges.

Med eksempelvis de 18 karakterer kunne man forstille sig brugere, som vælger en af følgende svage adgangskoder:

”123456789012345678”

”1234567890qwertyui”

”qwertyuiopasdfghjk”

Men det er en snak, som jeg ikke vil dykke ned i her.

Undersøgelse

Jeg har lavet en mindre undersøgelse, hvor jeg har spurgt 80 brugere af it-systemer om, hvilken adgangspolitik de ville synes ville virke bedst for dem.

Nedenstående diagram viser resultatet af undersøgelsen.

66 af de adspurgte brugere foretrækker altså, at man øger længden af adgangskoden, fjerner kompleksitetskravene og øger udløbstiden.

Man kunne jo eventuelt lave en tilsvarende rundspørge hos ens brugere, når man nu alligevel er ude og fortælle dem, hvordan man konstruerer en stærk adgangskode.

Er adgangskoder så brugbare?

Som så mange andre har sagt, mener jeg, at adgangskoder snart er et overstået kapitel.

Det vil ikke være sikkerhedsmæssigt forsvarligt kun at benytte adgangskoder, da de maskiner, som benyttes til at cracke koderne, bliver bedre og bedre.

Man kan jo forestille sig botnets, som kan cracke lange og komplekse adgangskoder på ingen tid.

Som jeg ser det, er den eneste vej frem at benytte andre løsninger som eksempelvis to-faktor-validering.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Martin Schramm
Martin Schramm
Andreas Kiær
Andreas Kiær
Kenneth Fuglsang Christensen
Kenneth Fuglsang Christensen
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Gør som de andre: Tag ingen beslutninger og gør intet
Læs indlæg
Artikel teaser billede

Martin Schramm

Data-spild i danske virksomheder går ud over miljøet: Vi har alle et ansvar

Artikel teaser billede

Andreas Kiær

Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af

Artikel teaser billede

Kenneth Fuglsang Christensen

Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med

Mest læste klummer og blogs
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Klumme: Hvorfor er det, at mangel på erfarne it-specialister fik 35 procent af danske it-firmaer til at sige nej til opgaver sidste år, når løsningen på dette er tilgængelig i dag og ofte ikke kræver andet end en holdningsændring i virksomhederne?
Af: Andreas Kiær
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Klumme: Hvis der er en kollektiv løgn, som nordsjællænderne og djøferne har påduttet os alle sammen, så er det dén med, at løn og dygtighed hører sammen. Selvfølgelig er det komplet nonsens, og vi ved det alle sammen.
Af: Mogens Nørgaard
Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser
Klumme: Det kræver grundige overvejelser, når man som virksomhed skal sikre, at man lever op til lovgivningen fra 1. juli. Det kan måske virke uoverskueligt, når man både skal have styr på it og selve bogføringsprocesserne – især, hvis man ikke har et stort bogholderi. Her kommer tre gode råd.
Af: Kenneth Fuglsang Christensen
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Gør som de andre: Tag ingen beslutninger og gør intet
opinion Jonathan Løw
Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?
Læs indlæg

Premium
Teaser billede
Køber 25.000 Copilot-licenser af Microsoft i kæmpe-aftale - vil investere milliarder i AI
Læs mere »
"Når jeg engang ikke er her mere, så vil jeg gerne huskes som generøs lige som ham"
Det danske it-lovsystem skal moderniseres: Styrelse søger ene-leverandør til 10-årig kæmpe-kontrakt
7N fra København runder halvanden milliard kroner i omsætning: Beskæftiger nu 1.700 konsulenter
Se alle »
Computerworld
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
Test: Denne bærbar beviser, hvorfor man ikke skal handle laptop alene ud fra teknikbladet
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Microsoft skruer op for CPU-krav til den næste version af Windows 11: Færre brugere kan nu opdatere
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Se alle »
White paper
Teaser billede
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Læs mere »
Sådan høster du forretningsfordelene ved Internet of Things
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »