11.5.07

Hader du at skifte password?

Det kan være surt og bøvlet for en virksomheds ansatte regelmæssigt at skulle skifte passwords af hensyn til it-sikkerheden, men alternativet kan være langt værre.

Historien om alternativet fortælles lige nu i en virksomhed, jeg kender til. Her har man konstateret, at den eksternt rettede mailserver er blevet brugt til at fremsende spam. Man formoder, at uvedkommende har ”gættet” sig både brugernavn og password for ansat, og dermed er det blevet muligt udefra at bruge mailserveren som affyringsrampe for spam.

Risikoen er, at andre mailservere begynder at nægte at modtage mails fra virksomheden. Dens mailserver kan nemlig blive blacklistet på fælles lister over "spamcentraler", hvilket vil ramme den eksternt rettede kommunikation hårdt.

Så hvad er værst. At bytte password eller ikke at kunne være sikker på at ens mails når modtagerne?

I øvrigt kan man gøre skiftet af password mindre bøvlet. Volapykkoder bør undgås, for de ender som bekendt ofte på gule Post It-sedler. Det bedste password-system jeg selv har været ”underkastet” handler om at sætte ord sammen, så man husker dem.

”Alone+Sea” havde jeg en gang, og det var til at huske. Ensom til havs! Det næste blev ”Boy-Shoes” – stakkels skoløse dreng. Måske skal der lidt ekstra kompleksitet på, men princippet! Det fungerer memoteknisk.

5 kommentarer:

AnetQ sagde ...

Hvis man også skal leve op til kravet om ikke at have valgt ord, som et hackerprogram kan hente direkte i en ordbog, skal man så lave sin huskesætning om til en forkortelse i stil med "ds2spgu" Husk: Der sidder 2 spurve på grenen udenfor...

Dorte Toft sagde ...

jeg tænkte nok, at mit forslag var for menneskevenligt (og hackervenligt) til at være godt nok:) Men dit forslag satte gang i sætningerne i mit hovede, og den første der meldte sig var "jlie5dm" - "jeg løber ikke efter 5 drenge mere". Gad vide, hvor den kom fra.

Jakob I. Pagter sagde ...

Og der er endda nogen som har gidet besvære sig med at undersøge og dokumentere at ideen med at forkorte sætninger faktisk (i praksis) er ligeså sikker som tilfældigt genererede passwords: link

Dorte Toft sagde ...

@Jakob, Tak for henvisningen, der fører til betalingssted, hvor forskningsrapporten kan købes.

Til dem, der måske kun læser det her som nice-to-know og derfor ikke overvejer at købe den rapport..... Kunne du sætte lidt flere ord på resultatet?

Jakob I. Pagter sagde ...

Seføli. Undersøgelsen delte nye studerende (og brugere af deres it-systemer) op i 3 grupper som fik forskellige råd. En gruppe blev bedt om at vælge et hemmeligt password, en anden gruppe blev bedt om vælge et password af tilfældige tegn (og fik hjælp hertil) og en tredje gruppe blev bedt om at bruge "forkortelses"-teknikken. Efter noget tid studerede man så hvor svære deres passwords var at cracke og hvor let folk havde ved at huske dem.

Konklusionen er at forkortelsespassword er ligeså lette at huske som naivt valgte passwords og ligeså sikre(*) som tilfældigt valgte. Altså, det "bedste" af begge løsninger.

En vigtig pointe er iøvrigt at instruere folk i at bruge specialtegn (#, @, #, }, €, ...) som en del af deres forkortelser (fx indimellem at skifte 'a' med '@' og 'S' med '$'), da dette kraftigt øger antallet af forskellige mulige passwords.

(*) Rent teoretisk er der nok forskel, men de udførte en række forskellige angreb på de to typer af passwords, og i praksis var et forkortelsespasswords lige så svært at cracke som et tilfældigt genereret.

En tidlig udgave af artiklen kan iøvrigt findes her.