Gode og dårlige passord

Sun 29 November 2009

I forbindelse med den økte bruken av brukernavn og passord på Internett føler vi at det er på sin plass å skrive noen ord om god passordskikk. Vi vil liste opp forskjellen på gode og dårlige passord, samt begrunnelsen for at disse er gode / dårlige. Til slutt vil vi oppsummere med noen forslag til praktiske tiltake en kan implementere for å forbedre sikkerheten i forbindelse med passord.


Som nevnt i en tidligere artikkel blir alle passord kryptert før de blir lagret i nettstedenes databaser. For å forstå hva som gjør et passord bra eller dårlig vil vi si litt om hvordan en går frem for å knekke passord.

bra = vanskelig å knekke for utenforstående

dårlig = lett å knekke for utenforstående


Når en skal forsøke å knekke et passord er det flere måter å gå frem på, men de to vanligeste er: ordboksøk (eng:dictionary attack) og test av alle kombinasjoner (eng:bruteforce attack). Vanligvis prøver man først et ordboksøk da dette tar relativ kort tid. Om dette mislykkes testes alle kombinasjoner.

Ordboksøk: Som navnet indikerer er dette å bruke en ordbok, altså forhåndsdefinerte ord og kombinasjoner, og teste disse opp imot passordet som skal knekkes. Ordbøker finnes på mange språk, og med en helt vanlig datamaskin er det å knekke et passord med ordboksøk en triviell affære. Ord som er å finne i en ordbok er dermed dårlige passord.

Eksempler på passord som er ekstremt dårlige : "hus", "gravemaskin", "hakkespett", o.s.v. Samme gjelder for ord på andre språk, stedsnavn, navn på personer, tall, farger, o.s.v

Alle kombinasjoner: Når en har verifisert at passordet ikke finnes i en ordbok er neste skritt å teste alle mulige kombinasjoner av tall, bokstaver og tegn. Avhengig av passordets lengde, om det inneholder kun bokstaver, tall, tegn, eller en kombinasjon av disse, vil testingen kunne utføres innenfor en fornuftig tidsramme.

"aaa" og "aAa" er to forskjellige passord, hvor det første vil bli knekket på kort tid, mens det andre vil ta litt lenger tid. Men i praksis vil forskjellen være på under et sekund og ikke merkbar. Dette er eksempel på ekstremt dårlige passord. De er korte og inneholder kun bokstaver.

kombinasjoner


Et passord må være blant annet:

- Langt: Tiden det tar å knekke et passord kan være tilnærmet eksponentiell ved å øke lengden på passordet.

- Små bokstaver, store bokstaver, tall og tegn: Gjør at antall kombinasjoner som må testes øker, j.m.f bildet over og variabelen 'N'.

- Unike tegn: Ikke repeter deler av passordet. Heller ikke ord / kombinasjoner som er like fremlengs og baklengs.

I tillegg bør en unngå å bruke passord som kan gjettes av de som har informasjon om deg. F.eks din adresse, telefonnummer, navnet på hunden din, brukernavnet ditt, o.s.v. Husk at det kan finnes tilgjengelig informasjon om deg på Internet via skattelister, blog, sosiale nettverk o.s.v.

Så skal vi følge alle reglene ender opp med at gode passord f.eks er: "4Ty!2#%aoQps" og "k/d3o8B3zY7p" som da igjen bryter mot den viktigste passordregelen av de alle, "Et passord skal være lett å huske". Det hjelper lite om passordet er teknisk sikkert dersom det er så vanskelig at en må skrive det ned og klistre det på skjermen for å kunne bruke det.

Her kan et alternativ være å ta i bruk passordhåndterer funksjonen i nettleseren din, og/eller lage huskeregler for passordene sånn at du kan memorere de uten å skrive ned. Det er og viktig å skifte passord ofte, samt ikke bruke samme passordet flere steder.

Vi skjønner at det kan være vanskelig å implementere god passordskikk, men nå har du hvertfall noen nye momenter å tenke på neste gang du skal velge deg et passord.

Linker:

Tagged as : passord sikkerhet

Comments

Tagged as : passord sikkerhet