Spørg Scientariet: Hvad er fremtiden for passwords?

https://preshing.com/20110811/xkcd-password-generator/

Så hvis nogen hacker din computer, så skal de blot snuppe databasen og logge dine keystrokes. Første gang du bruger din database så har de alle dine passwords? En password manager bør være offline og under alle omstændigheder ikke ligge på samme device som du bruger passwords fra.

Så er vi tilbage ved Bruce Schneier igen.

En manuel huskeseddel i pungen og/eller skrivebordsskuffen er low-tech, der virker. Man kan evt. "salte" ved at indbygge fejl, som man kun selv kan se.

Et godt eksempel, der virker til pinkoder med maks. 3 forsøg: Modificer din pinkode ved f.eks. at lægge tallet 3 til alle tal i koden, og skriv resultatet på dit kort. Det er ekstremt usandsynligt, at en tyv kan gætte det på 3 forsøg, og du har altid koden på dig.

I virkeligheden næppe mere end 2-300.000 år ,)

Det foreslog jeg såmænd i al beskedenhed i 1991.
Man opdager normalt, at tegnebogen er væk.

Jo men forskellen er begrundelsen. Da Schneier foreslog det, var begrundelsen at computere var blevet så hurtige at den mængde information som et menneske kan huske (inkl. alle mulige huskeregler som fx. sætninger) ikke var nok til at beskytte mod brute-force angreb.

I 1991 var det ikke et reelt problem og distribuerede systemer med mange tusind computere (som kan bruges til brute force password hacking) fandtes kun i science fiction litteraturen. Hvis du forudså hvor vi ville være henne nu, så tager jeg hatten af for dig.

<a href="https://howsecureismypassword.net/">https://howsecureismypassword.net/<…;

Jeg testede et pasord, jeg udskiftede for en uges tid siden og fik dette svar: "It would take a computer about 5 million years to crack your password"

I virkeligheden næppe mere end 2-300.000 år ,)

Allerede i 2005 foreslog Bruce Schneier at man blot skrev sit password ned på papir og gemte det i tegnebogen sammen med andre stykker papir af værdi

Det kommer da an på hvad du ved om systemet? Hvis du ikke kender længden af password eller antal ord er det da ret problematisk at håndtere.

Lad os antage at passwords kan være vilkårligt lange. De fleste brugere er dovne, så vi vælger "blot" at teste sætninger op til 60 tegn. På den måde kan antallet reduceres kraftigt.

Hvis man laver et underscore i en sætning, så bliver kombinationen nærmest uendelig.. hvis angriberen ved at en sætning kun består af ord i ordbogen og er af en viis længde, så er det muligt at gætte sig frem.. men indsætter man store og små bogstaver og special bogtaver som ;,.-_* eller grææske bogstaver, så behøver det ikke være så angt et password

En enkel underscore giver 60 gange så mange muligheder (på sætninger op til 60 tegn). Ikke umuligt.

Pointen er at hackeren ikke behøver at prøve alle kombinationer slavisk. Ved at vide noget om hvordan folk vælger passwords, kan han reducere mængden af kombinationer kraftigt. Så hvis du skal gøre noget sikkert, så skal du vælge en metoder som få andre bruger.

<a href="https://howsecureismypassword.net/">https://howsecureismypassword.net/<…;

Det fortæller kun hvor sikkert det er efter deres algoritme.

Et password som
WhoamI?Thatisagoodquestion-1212</p>
<p>Det tager forholdsvis lang tid at knække. test selv dit password.

Hvis jeg har en algoritme som sætter to tilfældige sætninger sammen og tilføjer en bindestreg og et 1-6 cifret tal, så finder man nemt dit password. Mere avanceret kan man permutere rækkefølgen og prøve forskellige tegn i stedet for bindestreg. Pointen er at hver gang en password database bliver lækket, så bliver alle lidt klogere på hvordan folk laver passwords. Og så optimerer man sine algoritmer efter det.

Hvis serveren ved forkerte login forsøg øger ventetiden før næste forsøg tillades vil en kraftig maskine ikke kunne gætte selv en "let" kode da den hurtigt ville skulle vente i meget lang tid før næste forsøg, eller at kontoen simpelthen låses efter x antal ugyldige forsøg.

Du behøver ikke engang låse kontoen. Hæv blot ventetiden til det dobbelte ved hvert forkert forsøg. Til det er selv 4 tegns passwords gode nok.

Maaske kunne man ogsaa indfoere Unicode-symboler, hvor man ogsaa har kinesiske tegn, saa bliver sikkerheden foroeget med en faktor 120.000 per ciffer. Hvis muligt kunne man ogsaa bare bruge die danske AE, OE og AA -bogstaver (i ved hvad jeg mener). Problemet er maaske bare at disse tegn ikke altid understoettes og at man maaske ikke altid har adgang til internet eller et dansk tastatur.

Det hjælper ikke. Der er grænser for hvor meget mennesker kan huske og det skal være nemt at indtaste (e.g. hvor hurtig er du til at indtaste kinesiske tegn?).. Og alt erfaring viser at vi er ganske ens i de metoder vi vælger vi vælger til scrambling. _ puttes ind visse steder. o skrives som nul. etc.

Jeg vil gerne indskyde, at jeg selv er begyndt at bruge en password manager ved navn Keepass, der husker alle mine kodeord, og det eneste, jeg behøver for at logge ind i databasen, er et kodeord, jeg selv har valgt.

Så hvis nogen hacker din computer, så skal de blot snuppe databasen og logge dine keystrokes. Første gang du bruger din database så har de alle dine passwords? En password manager bør være offline og under alle omstændigheder ikke ligge på samme device som du bruger passwords fra.

Så en hacker vil nok hellere forsøge at aflytte din linje eller aflytte din computer ved hjælp af virus og dermed få rette kode. Og så hjælper en lang kompleks kode dig ikke. Her kan 2-factor authentication med engangskoder derimod hjælpe.

Nemlig. Det skal være noget du har i hovedet og noget du har i hånden.

Det vigtigste, er faktisk at websites og den slags har anti hammering mekanismer. Selv et simpelt password vil være nok til at beskytte et web login, hvis det kræver et par år hundreder, at få sitet til at prøve alle kombinationer. Kun hvis den krypterede password tabel slipper ud er man på den, men så er det også næsten umuligt at beskytte sig.

Undskyld, men jeg ved ikke hvordan jeg skal formulere det.

Dem som laver websites med brug for password er fuldstændig ligeglade med, hvor besværligt det er for brugerne. Sååå - n-faktor, papkort m.m.

Det er mange år siden (10-15) jeg forsøgte at sælge et brugervenligt sikkert login system. Det var ikke så interessant, at jeg blev spurgt om prisen.

Jeg vil gerne indskyde, at jeg selv er begyndt at bruge en password manager ved navn Keepass, der husker alle mine kodeord, og det eneste, jeg behøver for at logge ind i databasen, er et kodeord, jeg selv har valgt. Kodeordet er selvfølgelig langt og vilkårligt. Databasen ligger på min PC, selvom jeg også har den i skyen, der dog er beskyttet af krypteringssoftware og 2-faktor-autentificering i skyen. Keepass virker bedre end Microsoft Excel, jeg brugte tidligere, og det har mange flere funktioner, der dog lige kræver nogle dage at sætte sig ind i - men det er helt klart tiden værd, så jeg vil gerne anbefale Keepass. Om sikkerheden er i orden - det ved jeg ikke, men jeg stoler på det efter hvad jeg har læst om servicen.

Her kan 2-factor authentication med engangskoder derimod hjælpe.

Det gør det i hvert fald mere besværligt, men man kan som hacker designe et mellemlag sådan at du giver hackeren adgangskode og 2. faktor som vedkommende så logger ind med, mens du får en uskyldig fejl og prøver igen. Det er vel nok til at hackeren kan gå ind og lænse bankkontoen.

Hvis serveren ved forkerte login forsøg øger ventetiden før næste forsøg tillades vil en kraftig maskine ikke kunne gætte selv en "let" kode da den hurtigt ville skulle vente i meget lang tid før næste forsøg, eller at kontoen simpelthen låses efter x antal ugyldige forsøg.

Systemet hedder fail2ban og er vist tilgængelig i alle Linux distros.

meget trætte af det password cirkus. det siger dem ikke noget at huske på lange sætninger eller koder. Endnu mindre et unikt password til hver system og hvilket password der bruges til hvilket system. Ej hold nu op få det fjernet, det har ingen fremtid på jord.

Hvis serveren ved forkerte login forsøg øger ventetiden før næste forsøg tillades vil en kraftig maskine ikke kunne gætte selv en "let" kode da den hurtigt ville skulle vente i meget lang tid før næste forsøg, eller at kontoen simpelthen låses efter x antal ugyldige forsøg.

Sådan virker mange servere allerede.

Så en hacker vil nok hellere forsøge at aflytte din linje eller aflytte din computer ved hjælp af virus og dermed få rette kode. Og så hjælper en lang kompleks kode dig ikke. Her kan 2-factor authentication med engangskoder derimod hjælpe.

Sikkerheden ligger derfor efter min mening ikke i din personlige kode, men i den infrastruktur du benytter.

Tror det bliver n-factor authentication i fremtiden, hvor man bl.a. maaler tiden mellem indtastningerne i ens kodeord, samt noget ansigtsgenkendelse, fingeraftrykgenkendelse og Oejenscanning, samt extern hardware. Jeg skal fx. taste flere koder ind for at komme paa min tyske Netbank. Den sidste kode jeg indtaster genereres af et flimmerbillede paa min skaerm, som jeg scanner med en extern scanner, der kun fungere med mit Bankkort. Et andet bankkort i samme scanner ville generere en anden kode da algoritmen aendres afhaenigt af det indsatte kort.

Maaske kunne man ogsaa indfoere Unicode-symboler, hvor man ogsaa har kinesiske tegn, saa bliver sikkerheden foroeget med en faktor 120.000 per ciffer. Hvis muligt kunne man ogsaa bare bruge die danske AE, OE og AA -bogstaver (i ved hvad jeg mener). Problemet er maaske bare at disse tegn ikke altid understoettes og at man maaske ikke altid har adgang til internet eller et dansk tastatur.

Langt ude i fremtiden bliver det nok noget kvante-halloej vi kommer til at bruge.

Hvis man laver et underscore i en sætning, så bliver kombinationen nærmest uendelig.. hvis angriberen ved at en sætning kun består af ord i ordbogen og er af en viis længde, så er det muligt at gætte sig frem.. men indsætter man store og små bogstaver og special bogtaver som ;,.-_* eller grææske bogstaver, så behøver det ikke være så angt et password

https://howsecureismypassword.net/

Et password som WhoamI?Thatisagoodquestion-1212

Det tager forholdsvis lang tid at knække. test selv dit password.

Det kommer da an på hvad du ved om systemet? Hvis du ikke kender længden af password eller antal ord er det da ret problematisk at håndtere.

Og udover de svagheder du selv nævner ved password på papir, så skal du også til at kigge dig over skulderen for det bliver da pludseligt en del nemmere for mig at aflure dit password når du sidder med din star bucks i den ene hånd, password seddel i den anden.

Det er rigtigt, at lange passwords er svære at huske, så i fremtiden tror jeg, at 'pass-phrases' - altså hvor dit password er en hel sætning - vinder frem.</p>
<p>Fidusen er, at vi mennesker sagtens kan huske lange sætninger, der er svære at gætte, bare de giver mening.

Men problemet er at jo mere vores passphrases blot indeholder almindelige ord, så er informations mængden heller ikke så stor. Man kan sagtens forestille sig en password cracker der har varianter af alle sætninger der findes i bøger på google books og andre steder. I praksis er mennesker bare ikke gode til at huske så meget information præcist som det er nødvendigt at huske.

Allerede i 2005 foreslog Bruce Schneier at man blot skrev sit password ned på papir og gemte det i tegnebogen sammen med andre stykker papir af værdi: https://www.schneier.com/blog/archives/2005/06/write_down_your.html

Det er sikkert med mindre nogen får fysisk adgang til din tegnebog eller opsnapper passwordet inde i din computer.