Slik lager du gode passord
Glem alt du har lært: Det er bare lengden det kommer an på.
LARVIK/OSLO: Passordet ditt består trolig av åtte bokstaver, kanskje et par til. Det er ganske sannsynlig at første bokstaven er stor, de resterende små. De siste to eller fire sifrene er trolig et tall, antakelig basert på en dato.
I en litt større bedrift er det høy sjanse for at du finner minst én bruker som har passordet ”Vinter12” eller ”Vinter2012”. Og det er nesten ingen som gjør det motsatt, kjører to tall først og så avslutter med et ord.
Uansett hadde sannsynligvis Per Thorsheim fra EDB Ergogroup knekt slike passord på rimelig kort tid.
- Selv mennesker med særdeles høy sikkerhetskompetanse bruker passord på åtte tegn, tall og bokstaver, sier han.
- Det skal godt gjøres å ha et passord på åtte tegn eller mindre som jeg ikke kan knekke på en time, fortalte han på sikkerhetskonferansen ISF tirsdag.
Lang, positiv setning
Han mener sikkerhetsfolk har gjort ting unødvendig knotete i mange år, der brukerne bes lage passord på gitte lengder som inneholder et gitt antall tall og spesialtegn og som må byttes på gitte intervaller. Slike passord er ofte vanskelig å huske.
Thorsheim viser til en stripe fra tegneserien XKCD, som har gått som en kule gjennom sosiale medier, og understreker samme poeng som han selv har: Det enkle er ofte det beste.
- Sikkerhetsfolk har gjort galt i minst 20 år, sier han.
Heller enn å ha et passord som ser sånn ut: ”Lr!#44jjE”, har han et hett tips: Få brukerne til å lage en setning. Gjerne en positiv en, basert på minner. Der har du passordet.
”Ferien i 2012 var fin, med sol, strand og øl.”
Voila. 41 tegn lang, og dermed svært vanskelig å knekke. Og jammen er det en komma, et tall og en punktum på plass i tillegg. Pluss en ø, i dette tilfellet.
At setningen er positiv ladet gjør den lettere å huske. Thorsheim mener også at brukerne må få slippe å bytte passord til stadighet.
- Bruk en setning, gjentar Thorsheim.
Knekker Windows-passordet
Han mener også en del vanlige regler for passordbruk i bedrifter har gått ut på dato.
- Passordadministrator må slutte å lage regler om hvor langt passordet skal være og hvor mange tall det må inneholde. Og hvis passordsystemet ikke støtter mer enn åtte tegn, må det gjøres noe med. I så fall er ikke sikkerhet brukerens feil, men it-avdelingens. Det må til tilrettelegges for lengre passord.
Windows-passord er lett å knekke, hevder han. Særlig korte passord. Og særlig i Windows-versjoner som ikke skiller mellom store og små bokstaver.
Passordene gjøres i Windows om til såkalte hasher, en enveis matematisk krypteringsprosess. Hashene brukes til å sjekke om passordet som skrives inn er riktig, ved å sjekke hash-formatet av det inntastede passordet mot lagrede passord-hasher på datamaskinen.
Men en inntrenger kan ta hash-filen og sjekke passord-hashene opp mot en enorm hash-database som er fritt tilgjengelig på nettet. Denne databasen består av genererte hasher basert på alle tenkelige passord mellom 1 og 14 tegn.
Finnes en hash-match, er det gjort. Da vet angriperen passordet i klartekst.
Angrepsformen kalles rainbow, tabellen kalles rainbowtable. Dette konkrete prosjektet heter freerainbowtables.com. Det jobbes nå med å lage et tabellsett som også skiller mellom små og store tegn, og dermed er også passord på operativsystem som Windows 7 i faresonen for rainbow-angrep.
Det finnes også flere andre hashtjenester på nettet, for eksempel forum der du kan be om hjelp til å knekke hasher.
Og på toppen av det hele, forteller Thorsheim, kommer enda dårligere sikrede passordløsninger.
Det er flere i bruk av norske nettbutikker som ikke engang krypterer passordet ditt, som ikke en gang hasher det. Får skurkene tak i databasen, sitter de på en gullgruve av passord og brukernavn – som regel er epostadressen din brukernavn – og ettersom folk flest kjører samme passord over alt er det en smal sak for skurkene å for eksempel utnytte epost-løsningen din.
