Passordsikkerhet

Sun 29 November 2009

Veldig mange tjenester på nett krever nå at brukeren må logge seg inn med et brukernavn og passord. Men er dette trygt? Hva skjer med passordet jeg skriver inn? Er det slik at de som driver tjenesten kan hente ut passordet mitt og bruke det mot meg?

I denne artikkelen skal vi prøve å forklare litt hva som skjer rent teknisk, og forhåpentligvis vil du sitte igjen med svar spørsmålene over når du har lest hele artikkelen.

Scenario: Du registrerer deg som bruker på ett nytt nettsted for å få tilgang til ekstra ressurser som kun tilbys registrerte brukere.

800px-Cryptographic_Hash_Function.svg

I den noe kryptiske illustrasjonen over kan en visuelt se hva som skjer med passordet ditt.

Innholdet i den blå boksen er passordet ditt i klartekst, f.eks "jnY39IOq", eller "Fox" som i eksempel 1 over. Dette er det du skriver i passordfeltet når du registrerer deg som ny bruker et sted.

Før dette blir lagret i nettstedets databaser blir det sendt igjenom en krypteringsfunksjon (gul boks).

Denne funksjonen har to viktige egenskaper:

- Den er enveis, det vil si at den kan kryptere ting, men ikke dekryptere.

- Den er entydig, det vil si at ordet "Fox" alltid blir kryptert til samme digest. Det er heller ingen andre ord som kan kryptereres til samme digest som ordet "Fox".

Det finnes mange krypteringsfunksjoner, men felles for de alle er at det er tilnærmet umulig å dekryptere ting når de først har blitt kryptert.

Resultatet av krypteringsfunksjonen (gul boks, digest) blir så lagret i nettstedets database sammens med brukernavnet ditt og annen nødvendig informasjon. Med andre ord er det ikke passordet ditt, men en unik representasjon (digest/hash) av passordet ditt som blir lagret. Det er umulig for de som driver nettstedet å hente ut passordet ditt, og du er dermed sikker på at det forblir hemmelig.

Når du returnerer til nettstedet for å logge deg inn skriver du brukernavn og passord i de respektive boksene på nettsiden. Igjen blir passordet ditt kryptert og resultatet (digest) av denne krypteringen blir sammenlignet med resultatet som ligger i databasen. Om disse er like, må også det inntastede passordet være det samme som da du registrerte deg første gangen, og du er dermed innlogget.

innlogging_boks

Om du glemmer hvilket passord du brukte når du registrerte deg tilbyr de aller fleste nettsteder en mulighet for å nullstille / endre passordet ditt. Dette er et resultat av enveiskrypteringen, at ingen vet hvilket passord du brukte opprinnelig, du må derfor lage et nytt.

Sånn avslutningsvis må det nevnes at det ikke er alle nettsteder som bruker enveis kryptering. Det finnes og andre former for kryptering som gjør at passordet kan hentes ut, noe som du kan få bekreftet ved at "Glemt passord" funksjonen returnerer passordet ditt istedetfor en link til å nullstille det.

Dette er ikke ment som en teknisk innføring i temaet kryptering, kun en praktisk forklaring relatert til noe relevant (brukernavn og passord bokser), men under vil du finne noen linker til mer om temaet.

Linker:

Tagged as : passord sikkerhet

Comments

Tagged as : passord sikkerhet