23

– Danskene tenker gammeldags

Norsk sikkerhetsrådgiver hudfletter passordkrav fra dansk bank.

Per Thorsheim fra Evry er ikke imponert over Nykredit.

Vi meldte nylig at en dansk bank nekter kundene sine å bruke passord med spesialtegn.

– Vi har valgt å ikke støtte sikkerhetstegn fordi sikkerhet alltid vil være en balansegang mellom sikkerhet og brukervennlighet. Vi vil gjerne at folk velger et passord som de kan huske. Hvis de kan bruke spesialtegn, vil mange begynne å skrive dem ned på lapper, og dermed ryker sikkerheten, sa sikkerhetssjef Niels O. Rasmussen til det danske nettstedet ComON.

Dette har fått sikkerhetsrådgiveren Per Thorsheim til å reagere og kalle den danske bankens uttalelser for unyanserte.

– Spesialtegn gjør passord bedre. Bruk av ÆØÅ gjør dem også bedre. Bruk av kyrillisk eller kinesiske skrifttegn gjør dem også bedre. I hvert fall isolert sett, når man ser på antatt medgått tid for å knekke dem. Brukervennligheten ved å stille krav til bruk av slike tegn faller derimot dramatisk, uttaler Thorsheim til Teknofil.no.

Skyter seg selv i foten

Per Thorsheim jobber for Evry, som tidligere het EDB Ergogroup og er Norges største IT-tjenesteselskap. Han har forsket på passord i over ti år og har en rekke sertifiseringer som CISA, CISM og CISSP-ISSAP.

– Banken skyter seg selv – og oss – i foten når de bevisst sperrer for bruken av spesialtegn i passord. Argumentet om at dette er gjort for å få folk til å lage passord de klarer å huske, og ikke skrive dem ned er på alle måter feil, sier han.

Online og offline

Det finnes to grunnleggende måter å angripe et passord på – såkalte "online" og "offline" forsøk. Førstnevnte er manuelle eller automatiserte forsøk mot for eksempel en påloggingsside. Sikkerhetstiltakene her er begrensninger på antall forsøk i sekundet, per konto man forsøker å logge seg inn på og andre funksjoner som skal redusere sannsynligheten for innbrudd.

Banker benytter seg vanligvis av 2-faktors autentisering, som for eksempel i BankID i Norge i dag.

"Offline" forsøk er automatiserte forsøk mot såkalte hashede passord. Det betyr at noen har fått tak i ditt krypterte passord og det er ingen grenser for hvor mange forsøk per sekund som kan gjøres uten å ødelegge eller sperre tjenesten.

Denne typen angrep har økt dramatisk den siste tiden, men konsekvensene for sluttbrukeren er foreløpig små. Dette kommer blant annet av at det er vanskelig å dra nytte av tusenvis av kontoer på tvers av ulike tjenester før de eventuelt blir sperret.

Ikke holdbart

– Banken har rett i at et alfanumerisk passord er tilstrekkelig når det er i kombinasjon med en 2-faktorløsning (en "passordkalkulator" som vi ofte kaller det). Spesielt gjelder dette når de i tillegg har mekanismer på plass for å senke hastigheten på antall påloggingsforsøk, samt sperring etter et gitt antall forsøk (slik banken oppgir), utdyper Thorsheim.

Thorsheim mener at dette likevel ikke er holdbart i forhold til andre typer tjenester uten 2-faktorløsning, eller i forhold til brukere som ønsker seg mer sikre passord.

– Viktigst av alt: Uttalelsene må ikke legges til grunn for å vurdere passord på tjenester hvor det ikke benyttes tilsvarende sikkerhetsløsninger. Det gjelder de fleste tjenester på Internett hvor man i dag har brukernavn og passord.

Avslører nyttig informasjon

Når en bank som Nykredit bevisst dokumenterer minstekrav og begrensninger for passord reduserer de ikke bare antall tilgjengelige kombinasjoner for brukeren, men har også avslørt nyttig informasjon for potensielle angripere.

Ifølge Thorsheim burde banker og andre heller si at de for eksempel støtter passord med lengde på opptil 64 tegn, samt alle UTF8-karakterer. På denne måten setter man en maksimal grense som kan skremme mange angripere.

Thorsheim er også kritisk til uttalelsene fra danske Fort Consult:

– Uttalelsene fra Fort Consult er delvis basert på en foreldet, men fortsatt veldig vanlig oppfatning av krav til passord: minst åtte tegn, store og små bokstaver, tall og spesialtegn.

Bruk hele setninger

Thorsheim foreslår i stedet å bruke hele setninger som passord, med mellomrom og alt. "Jeg digger Vikingarna!" bør for eksempel være mulig å huske for de fleste, og i tillegg er det langt og komplekst med spesialtegn.

Det er allerede mulig å bruke mellomrom i passord hos flere tjenester. Mellomrom er et spesialtegn i datasystemer, og med tanke på både brukervennlighet og sikkerhet vil det være en fordel å tillate bruken av mellomrom. I Windows har det for eksempel vært mulig å bruke mellomrom i passord i alle år.

Thorsheim forteller at det ikke er mulig å knekke den type passord ved å prøve alle mulige kombinasjoner og at det er ikke logisk for noen angripere i dag å teste slike varianter i angrep på nett.

Kommentarer (23)

Til toppen