Spørg Scientariet: Hvad er fremtiden for passwords?
more_vert
close
close

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
Ved at tilmelde dig accepterer du vores Brugerbetingelser, og at Mediehuset Ingeniøren og IDA-gruppen lejlighedsvis kan kontakte dig om arrangementer, analyser, nyheder, tilbud mm via telefon, SMS og email. I nyhedsbreve og mails fra Mediehuset Ingeniøren kan findes markedsføring fra samarbejdspartnere.

Spørg Scientariet: Hvad er fremtiden for passwords?

Vores læser Kim Hansen har spurgt:

Hvad er fremtiden for passwords på computere? I takt med at hackere får kraftigere maskiner, går det også hurtigere med at finde passwordene. Vi kan vel ikke blive ved med at få længere passwords?

Ivan Bjerre Damgård, professor på Institut for Datalogi, Aarhus Universitet, svarer:

Læs også: Leder: Sikkerheden i vores elektronik skal strammes op

Jeg tror, at vi kommer til at leve med passwords i mange år endnu.

Til trods for alle deres svagheder har passwords også nogle praktiske fordele, der gør dem svære at erstatte. Bl.a. er de uafhængige af den enhed, du logger på fra og kræver ikke speciel hardware.

Men det er naturligvis et problem, at angriberne får bedre udstyr til rådighed, og det er rigtigt, at det eneste svar er at bruge længere passwords.

Den gode nyhed er, at de ikke behøver at være så meget længere, som man måske skulle tro. Hvis man gør sit password bare én karakter længere, bliver antallet af muligheder mindst 36 gange større (hvis vi tillader både tal og bogstaver), og bare to karakterer mere betyder, at angriberen skal arbejde mere end 1.000 gange så hårdt.

Læs også: It-sikkerhed er den største udfordring ved Industri 4.0

Det er rigtigt, at lange passwords er svære at huske, så i fremtiden tror jeg, at 'pass-phrases' - altså hvor dit password er en hel sætning - vinder frem.

Fidusen er, at vi mennesker sagtens kan huske lange sætninger, der er svære at gætte, bare de giver mening.

Hvis man vil sikre sig mod kraftigere maskiner, eller hvis man bare generelt vil have bedre sikkerhed, bør man supplere passwords med noget andet, så man får det, der hedder 2-factor authentication.

Det kan f.eks. være en ekstra fysisk dims, du har med dig, som laver éngangs-koder, som du så taster ind. Det er f.eks. sådan, NemID virker, hvor plastickortet er faktor nr. 2.

Spørg fagfolket

Du kan spørge om alt inden for teknologi og naturvidenskab. Redaktionen udvælger indsendte spørgsmål og finder den bedste ekspert til at svare – eller sender spørgsmålet videre til vores kloge læsere. Klik her for at stille dit spørgsmål til fagfolket.

Det er rigtigt, at lange passwords er svære at huske, så i fremtiden tror jeg, at 'pass-phrases' - altså hvor dit password er en hel sætning - vinder frem.

Fidusen er, at vi mennesker sagtens kan huske lange sætninger, der er svære at gætte, bare de giver mening.

Men problemet er at jo mere vores passphrases blot indeholder almindelige ord, så er informations mængden heller ikke så stor. Man kan sagtens forestille sig en password cracker der har varianter af alle sætninger der findes i bøger på google books og andre steder. I praksis er mennesker bare ikke gode til at huske så meget information præcist som det er nødvendigt at huske.

Allerede i 2005 foreslog Bruce Schneier at man blot skrev sit password ned på papir og gemte det i tegnebogen sammen med andre stykker papir af værdi: https://www.schneier.com/blog/archives/200...

Det er sikkert med mindre nogen får fysisk adgang til din tegnebog eller opsnapper passwordet inde i din computer.

  • 3
  • 0

Det kommer da an på hvad du ved om systemet? Hvis du ikke kender længden af password eller antal ord er det da ret problematisk at håndtere.

Og udover de svagheder du selv nævner ved password på papir, så skal du også til at kigge dig over skulderen for det bliver da pludseligt en del nemmere for mig at aflure dit password når du sidder med din star bucks i den ene hånd, password seddel i den anden.

  • 1
  • 0

Hvis man laver et underscore i en sætning, så bliver kombinationen nærmest uendelig.. hvis angriberen ved at en sætning kun består af ord i ordbogen og er af en viis længde, så er det muligt at gætte sig frem.. men indsætter man store og små bogstaver og special bogtaver som ;,.-_* eller grææske bogstaver, så behøver det ikke være så angt et password

https://howsecureismypassword.net/

Et password som
WhoamI?Thatisagoodquestion-1212

Det tager forholdsvis lang tid at knække. test selv dit password.

  • 0
  • 0

Tror det bliver n-factor authentication i fremtiden, hvor man bl.a. maaler tiden mellem indtastningerne i ens kodeord, samt noget ansigtsgenkendelse, fingeraftrykgenkendelse og Oejenscanning, samt extern hardware. Jeg skal fx. taste flere koder ind for at komme paa min tyske Netbank. Den sidste kode jeg indtaster genereres af et flimmerbillede paa min skaerm, som jeg scanner med en extern scanner, der kun fungere med mit Bankkort. Et andet bankkort i samme scanner ville generere en anden kode da algoritmen aendres afhaenigt af det indsatte kort.

Maaske kunne man ogsaa indfoere Unicode-symboler, hvor man ogsaa har kinesiske tegn, saa bliver sikkerheden foroeget med en faktor 120.000 per ciffer. Hvis muligt kunne man ogsaa bare bruge die danske AE, OE og AA -bogstaver (i ved hvad jeg mener). Problemet er maaske bare at disse tegn ikke altid understoettes og at man maaske ikke altid har adgang til internet eller et dansk tastatur.

Langt ude i fremtiden bliver det nok noget kvante-halloej vi kommer til at bruge.

  • 1
  • 0

Hvis serveren ved forkerte login forsøg øger ventetiden før næste forsøg tillades vil en kraftig maskine ikke kunne gætte selv en "let" kode da den hurtigt ville skulle vente i meget lang tid før næste forsøg, eller at kontoen simpelthen låses efter x antal ugyldige forsøg.

Sådan virker mange servere allerede.

Så en hacker vil nok hellere forsøge at aflytte din linje eller aflytte din computer ved hjælp af virus og dermed få rette kode. Og så hjælper en lang kompleks kode dig ikke. Her kan 2-factor authentication med engangskoder derimod hjælpe.

Sikkerheden ligger derfor efter min mening ikke i din personlige kode, men i den infrastruktur du benytter.

  • 4
  • 0

meget trætte af det password cirkus. det siger dem ikke noget at huske på lange sætninger eller koder. Endnu mindre et unikt password til hver system og hvilket password der bruges til hvilket system. Ej hold nu op få det fjernet, det har ingen fremtid på jord.

  • 1
  • 3

Hvis serveren ved forkerte login forsøg øger ventetiden før næste forsøg tillades vil en kraftig maskine ikke kunne gætte selv en "let" kode da den hurtigt ville skulle vente i meget lang tid før næste forsøg, eller at kontoen simpelthen låses efter x antal ugyldige forsøg.

Sådan er min hjemmeserver sat op. Det er kun adgang via SSH og efter tre forkerte gæt bliver man frosset ude i 15 min. før man kan prøve igen. Det kan man syv gange (dvs. i alt 21 forsøg) og så bliver IP-nummeret bandlyst for evigt. Det gør brute force værdiløst med mindre man har mange IP-numre at tage af. Der er ikke noget magisk over de tre hhv. syv, det er bare mit valg.

Systemet hedder fail2ban og er vist tilgængelig i alle Linux distros.

  • 0
  • 0

Jeg vil gerne indskyde, at jeg selv er begyndt at bruge en password manager ved navn Keepass, der husker alle mine kodeord, og det eneste, jeg behøver for at logge ind i databasen, er et kodeord, jeg selv har valgt. Kodeordet er selvfølgelig langt og vilkårligt. Databasen ligger på min PC, selvom jeg også har den i skyen, der dog er beskyttet af krypteringssoftware og 2-faktor-autentificering i skyen. Keepass virker bedre end Microsoft Excel, jeg brugte tidligere, og det har mange flere funktioner, der dog lige kræver nogle dage at sætte sig ind i - men det er helt klart tiden værd, så jeg vil gerne anbefale Keepass. Om sikkerheden er i orden - det ved jeg ikke, men jeg stoler på det efter hvad jeg har læst om servicen.

  • 0
  • 0

Undskyld, men jeg ved ikke hvordan jeg skal formulere det.

Dem som laver websites med brug for password er fuldstændig ligeglade med, hvor besværligt det er for brugerne. Sååå - n-faktor, papkort m.m.

Det er mange år siden (10-15) jeg forsøgte at sælge et brugervenligt sikkert login system. Det var ikke så interessant, at jeg blev spurgt om prisen.

  • 0
  • 1

Det vigtigste, er faktisk at websites og den slags har anti hammering mekanismer.
Selv et simpelt password vil være nok til at beskytte et web login, hvis det kræver et par år hundreder, at få sitet til at prøve alle kombinationer. Kun hvis den krypterede password tabel slipper ud er man på den, men så er det også næsten umuligt at beskytte sig.

  • 0
  • 0

Det kommer da an på hvad du ved om systemet? Hvis du ikke kender længden af password eller antal ord er det da ret problematisk at håndtere.

Lad os antage at passwords kan være vilkårligt lange. De fleste brugere er dovne, så vi vælger "blot" at teste sætninger op til 60 tegn. På den måde kan antallet reduceres kraftigt.

Hvis man laver et underscore i en sætning, så bliver kombinationen nærmest uendelig.. hvis angriberen ved at en sætning kun består af ord i ordbogen og er af en viis længde, så er det muligt at gætte sig frem.. men indsætter man store og små bogstaver og special bogtaver som ;,.-_* eller grææske bogstaver, så behøver det ikke være så angt et password

En enkel underscore giver 60 gange så mange muligheder (på sætninger op til 60 tegn). Ikke umuligt.

Pointen er at hackeren ikke behøver at prøve alle kombinationer slavisk. Ved at vide noget om hvordan folk vælger passwords, kan han reducere mængden af kombinationer kraftigt. Så hvis du skal gøre noget sikkert, så skal du vælge en metoder som få andre bruger.

https://howsecureismypassword.net/

Det fortæller kun hvor sikkert det er efter deres algoritme.

Et password som
WhoamI?Thatisagoodquestion-1212

Det tager forholdsvis lang tid at knække. test selv dit password.

Hvis jeg har en algoritme som sætter to tilfældige sætninger sammen og tilføjer en bindestreg og et 1-6 cifret tal, så finder man nemt dit password. Mere avanceret kan man permutere rækkefølgen og prøve forskellige tegn i stedet for bindestreg. Pointen er at hver gang en password database bliver lækket, så bliver alle lidt klogere på hvordan folk laver passwords. Og så optimerer man sine algoritmer efter det.

Hvis serveren ved forkerte login forsøg øger ventetiden før næste forsøg tillades vil en kraftig maskine ikke kunne gætte selv en "let" kode da den hurtigt ville skulle vente i meget lang tid før næste forsøg, eller at kontoen simpelthen låses efter x antal ugyldige forsøg.

Du behøver ikke engang låse kontoen. Hæv blot ventetiden til det dobbelte ved hvert forkert forsøg. Til det er selv 4 tegns passwords gode nok.

Maaske kunne man ogsaa indfoere Unicode-symboler, hvor man ogsaa har kinesiske tegn, saa bliver sikkerheden foroeget med en faktor 120.000 per ciffer. Hvis muligt kunne man ogsaa bare bruge die danske AE, OE og AA -bogstaver (i ved hvad jeg mener). Problemet er maaske bare at disse tegn ikke altid understoettes og at man maaske ikke altid har adgang til internet eller et dansk tastatur.

Det hjælper ikke. Der er grænser for hvor meget mennesker kan huske og det skal være nemt at indtaste (e.g. hvor hurtig er du til at indtaste kinesiske tegn?).. Og alt erfaring viser at vi er ganske ens i de metoder vi vælger vi vælger til scrambling. _ puttes ind visse steder. o skrives som nul. etc.

Jeg vil gerne indskyde, at jeg selv er begyndt at bruge en password manager ved navn Keepass, der husker alle mine kodeord, og det eneste, jeg behøver for at logge ind i databasen, er et kodeord, jeg selv har valgt.

Så hvis nogen hacker din computer, så skal de blot snuppe databasen og logge dine keystrokes. Første gang du bruger din database så har de alle dine passwords? En password manager bør være offline og under alle omstændigheder ikke ligge på samme device som du bruger passwords fra.

Så en hacker vil nok hellere forsøge at aflytte din linje eller aflytte din computer ved hjælp af virus og dermed få rette kode. Og så hjælper en lang kompleks kode dig ikke. Her kan 2-factor authentication med engangskoder derimod hjælpe.

Nemlig. Det skal være noget du har i hovedet og noget du har i hånden.

  • 1
  • 0

Det foreslog jeg såmænd i al beskedenhed i 1991.
Man opdager normalt, at tegnebogen er væk.

Jo men forskellen er begrundelsen. Da Schneier foreslog det, var begrundelsen at computere var blevet så hurtige at den mængde information som et menneske kan huske (inkl. alle mulige huskeregler som fx. sætninger) ikke var nok til at beskytte mod brute-force angreb.

I 1991 var det ikke et reelt problem og distribuerede systemer med mange tusind computere (som kan bruges til brute force password hacking) fandtes kun i science fiction litteraturen. Hvis du forudså hvor vi ville være henne nu, så tager jeg hatten af for dig.

  • 1
  • 0

Så hvis nogen hacker din computer, så skal de blot snuppe databasen og logge dine keystrokes. Første gang du bruger din database så har de alle dine passwords? En password manager bør være offline og under alle omstændigheder ikke ligge på samme device som du bruger passwords fra.

Så er vi tilbage ved Bruce Schneier igen.

En manuel huskeseddel i pungen og/eller skrivebordsskuffen er low-tech, der virker. Man kan evt. "salte" ved at indbygge fejl, som man kun selv kan se.

Et godt eksempel, der virker til pinkoder med maks. 3 forsøg: Modificer din pinkode ved f.eks. at lægge tallet 3 til alle tal i koden, og skriv resultatet på dit kort. Det er ekstremt usandsynligt, at en tyv kan gætte det på 3 forsøg, og du har altid koden på dig.

  • 0
  • 0