itfag | Teknologi. Data. Læring. Deling.

mar/12

14

Passordsikkerhet i VG

Førstelektor Olav Skundberg ble intervjuet av VG om passordsikkerhet. Les artikkelen her: http://vg.no/article.php?artid=10069881. Artikkelen har mange konkrete tips og refleksjoner, og det er også kommet ganske mange kommentarer under artikkelen som kan være interessante å lese.

Du som leser dette blogginnlegget er trolig mer enn gjennomsnittlig interessert i data. Passord er en viktig del av sikkerheten, men det er også andre forhold å ta i betraktning. Hvilke sikkerhetsmessige tiltak gjør du i din digitale verden? Hva vil du anbefale andre å gjøre? Hva virker og hva er for paranoid å bruke tid på?

Dette innlegget har 7 kommentarer. Gjerne bidra :-)

Skrevet av: Svend Andreas Horgen (totalt 133 blogginnlegg)

7 comments

  • Per Thorsheim · 14. mars, 2012, kl. 17:29

    Problemet med de konkrete eksempler som er gitt i VGs artikkel er at det er tilnærmet ingen som lager slike passord. Ei heller er det brukervennlig å si til brukere at «istedenfor å huske passordet ditt, så trenger du bare å huske denne lange reglen for å lage passord, og så må du huske denne lange reglen for å klare å huske passordet ditt». Satt på spissen.

    Ta gjerne en kikk på min blogg, jeg har forsket på passord i 11+ år, og derfra finner dere en mengde linker til andre ute i verden som også forsker på passord og tilsvarende mekanismer.

    26-27 November arrangerer jeg i samarbeid med professor Audun Jøsang en 2-dagers konferanse utelukkende om passord og pin koder på UiO. Gratis, åpent for alle. Mer info vil komme i tiden fremover på bl.a. min blogg. 🙂

    Samme konferanse ble arrangert i juni 2011 og desember 2010. Videoarkiver er tilgjengelig på http://ftp.ii.uib.no/pub

  • Jone · 14. mars, 2012, kl. 21:13

    Hvis vi tenker som de som skal knekke passordet så må vi se på antall tegn som kan brukes i passordet. brukes det kun tall er det snakk om 10 forskjellige tegn, kun små bokstaver 29, kun store 29 og vanlige spesialtegn 15ish.

    Vi kan så ta utgangspunkt i at hackeren tester 1000 kombinasjoner i sekundet (dette er veldig lavt) og at passordet består av 4 tegn:

    Kun tall: 10^4 = 10000 kombinasjoner – 10 sec
    Kun små/store bokstaver: 29^4 = 707281 – ~12min
    Små og store bokstaver: (29+29)^4 = 11316496 – ~3 timer
    Små og store bokstaver + tall: (29+29+10)^4 = 21381376 – ~6 timer
    Små og store bokstaver + tall + spesialtegn: (29+29+10+15)^4 = 47458321 – ~13 timer

    Jeg vil påstå at hvis du bruker et passord som består av store og små bokstaver, er minst 6 tegn langt og som ikke er basert på ord som finnes i ordboken så er du sikker nok. Altså: et passord som ikke kan gjettes. Ut over dette ligger ansvaret hos de som har laget systemet du bruker passordet på. Får noen tak i passordfilene er det kun et tidspørsmål uansett.

    Vil du være (tilnærmet)helt sikker derimot, finnes det en løsning:

    Lag et passord som resulterer i at det må prøves utrolig mange kombinasjoner før det kan knekkes. Kombiner dette med en algoritme for å generere passordhashen som tar så lang tid som mulig. (Antall mulige kombinasjoner / kombinasjoner per sec) / 2 vil da være intervallet du skal benytte for bytting av passord. Når du beregner antall mulige kombinasjoner per sec lønner det seg å ta utgangspunkt i den heftigste maskinvaren og i alle fall doble svaret.

    Videre kan jeg jo si at jeg har knekket en del passord på forskjellige måter, både fordi jeg har glemt passord og fordi jeg har fått utfordringer fra personer med «geniale» passord. Det lengste jeg har giddet å la en maskin være dedikert til å knekke ett passord er 14 dager. Når jeg ikke gidder lengre enn dette selv om jeg har en ledig maskin og en irriterende sysadmin som mobber med fordi jeg ikke får det til hengende over skulderen så sier det vel seg selv at en fremmed ikke gidder å bruke så lang tid for å komme seg inn på e-postkontoen din i håp om å kanskje kunne tappe paypalkontoen din for 1000nok. Er du derimot kjent for å ha godt med penger blir du straks et mer attraktivt mål…

    Jeg vil tro at de som tjener penger på dette kun går etter de med de aller enkleste passordene. Har de en passordfil/database med 10k brukere/passord setter de kanskje av 1 min til å knekke hvert passord. Da sitter de kanskje igjen med 500 passord, bruker de mer tid enn det vil det ikke være verdt det. Tid er penger også for de som driver med tvilsomme ting som dette.

  • Svend Andreas Horgen · 16. mars, 2012, kl. 00:51

    Takk for interessante innspill. En ting jeg har lurt på som dere kanskje vet: Hvorfor sikrer ikke flere nettsteder seg mot brute force ved å ha en sperre på antall mislykkede passord? Ved å sette for eksempel 10 forsøk og så en karantene på noen timer eller dager, så vil jo brute force effektivt unngås? Jeg er med på at hvis hackeren får tak i passordfilen, så gjelder ikke dette, men hvis det handler om å teste ut bokstavkombinasjoner tilfeldig opp mot en webtjener, så må vel det være en effektiv løsning?

  • Jone · 16. mars, 2012, kl. 10:36

    Godt poeng Svend. Jeg har i det siste gått over til å legge brukere i en karantene med en gang feil passord skrives inn. Karantenetiden er 3^antall mislykkede innloggingsforsøk. Taster man feil et par-tre ganger er alt greit nok, men etter det begynner karantenetiden å bli lang.

  • Per Thorsheim · 19. mars, 2012, kl. 10:34

    Jone:
    Entropi er ikke roten til alt ondt, men i diskusjonen om passordstyrke er entropi noe man skal være svært forsiktig med.

    Jeg knekker passord, og det har jeg gjort profesjonelt i 13-14 år eller deromkring. Entropi og keyspace er relativt irrelevant å snakke om for 90% av alle passord i bruk; eksisterende ordlister på nett gjør jobben for knekking.

    Svend:
    Permanent sperring av kontoer etter X forsøk vil kunne utnyttes til massive DoS/DDoS situasjoner.

    Rate-limiting, dvs X antall forsøk før ytterligere forsøk blir tillatt er en meget smart funksjon i mange løsninger. Utfordringen er at der hvor det finnes er det antagelig en opsjon som admin ikke skrur på, og der hvor det ikke finnes er admin likegyldig eller lykkelig uvitende om sikkerhetsfunksjoner som bør være på plass.

    • Jone · 19. mars, 2012, kl. 13:47

      Nå er det fullt mulig at jeg misforstår, men når man snakker om passord som ikke finnes i ordlister så er jo entropi og keyspace ganske så relevant. Eller tar jeg feil her? Tenker da med utgangspunkt i at man må benytte brute force (dvs ikke databaseoppslag som ordlister eller rainbowtables) for å få tak i passordet.

      Saken her var vel hvordan man kunne lage bedre passord, ikke hvordan man kan bli blant de 90% som har elendige passord.

      Det jeg forsøkte å skrive som mitt poeng var at man ikke trenger et 100% sikkert passord, man behøver kun å bevege seg inn blant de 10% som har de beste passordene slik at man blir et mindre attraktivt mål.

      Siden du har lang erfaring på dette området; stemmer det det jeg antar med at «hackerne» stort sett kun knekker de enkleste passordene? Dvs at de ikke mangedobler tidsbruken for å få fatt i de siste 10 prosentene?

  • Per Thorsheim · 21. mars, 2012, kl. 13:17

    Vel, en ting er definisjonen av «ordliste». I følge språkrådet er det bokmål, nynorsk eller samisk ordliste vi da snakker om. Men «wordlist» på Internett dreier seg vanligvis om lister med «ord», ett pr linje, som i all praksis kan være alt mulig. F.eks. passord stjålet andre steder på nett. Sannsynligheten for at nettopp ditt passord ikke eksisterer i en slik liste…. liten.

    Brukere har normalt lavere entropi i sine passord – og passordraser enn det matematikken gir rom for. Mye lavere.

    Vil du bli et mindre attraktivt mål, så skal du ha unike passord pr tjeneste, både privat og på jobb. Siden du ikke vet hvordan dine ulike tjenesteleverandører faktisk lagrer passordet ditt, så skal du bare gå ut i fra at de blir 1) kompromittert, 2) lekket på nett, og 3) selvfølgelig er passordene lagret i klartekst.

    Da vil ikke passordet ditt på tulleside.com ha noen verdi utover akkurat der, siden du andre passord på PayPal, nettbank og Facebook. Passordet og kontoinformasjon ellers om deg får redusert sin verdi.

    Alle lekkasjer av passord på nett viser at «hackerne» alltid går etter de enkle målene. Passord som finnes i ordlister, og som knekkes på sekunder. I de store mengdene ligger det mer enn nok data til å gi økonomisk gevinst. Så sant du ikke er general, toppolitiker eller rockeartist, så vil ditt vanskelige passord være uinteressant å knekke.

    Sistnevnte kan dog være av interesse for meg og enkelte andre, som finner en faglig utfordring i å bedre algoritmer for å gjette og knekke passord. Den eventuelle økonomiske gevinsten tilknyttet har ingen interesse, i den grad den finnes på dette stadiet.

    mvh. Per

<<

>>

Theme Design by devolux.nh2.me