Jesper Johansson, senior programsjef for sikkerhetspolicy hos Microsoft, kom nylig med en ganske kontroversiell uttalelse. Han sa at det generelle rådet fra IT-industrien til brukerne om ikke å skrive ned passordene for innlogging på maskiner og tjenester, er et dårlig råd.
Under en tale ved AusCERT-konferansen i Australia denne uken, spurte Johansson som følger:
"Hvor mange har en passordpolicy som med trusler om dødsstraff sier at du ikke skal skrive ned passordene dine?". Ifølge ZDNet Australia, rakte de fleste i salen hånden i været.
– Jeg mener dette er helt feil. Jeg mener at passordpolicyen bør være at du bør skrive ned passordet ditt. Jeg har 68 forskjellige passord. Hvis jeg ikke får lov til å skrive noen av dem ned, gjett hva jeg må gjøre da? Jeg må bruke det samme passordet på alle stedene, sa Johansson, som mener at dette er med på å redusere den generelle sikkerheten.
– Siden ikke alle systemer tillater gode passord, kommer jeg til å velge et virkelig dårlig et, bruke det overalt og aldri endre det. Hvis jeg skriver dem ned og så beskytter papirarket, eller hva det nå var jeg skrev dem ned på, er det ikke noe galt med det. Det lar oss huske flere passord og bedre passord, mener Johansson.
Ifølge ZDNet Australia, mente deltakerne ved konferansen at Johanssons råd lød fornuftig, men samtidig mente de at det ikke var praktisk gjennomførbart, blant annet fordi mange vanlige brukere ikke vil beskytte passordoversikten i tilstrekkelig grad.
Spørsmålet som melder seg, er hvilke risiko som er størst: Et tilfeldig angrep via Internett som utnytter bruken av svake passord, eller et målrettet angrep fra en noen som har greid å få tak en slik passordoversikt over sterke passord.
Nå finnes det riktignok en mellomløsning for dette problemet. Den krever bare at brukeren må huske to passord, i tillegg til å lage en oversikt som bare de som kjenner passordene vil kunne få noe ut av.
Metoden går ut på å benytte passord hvor deler at passordet varieres. La oss si passordet 'Wvl_!zYp_'. Dette passordet består av ni tilfeldige tegn, hvor to tegn, markert som '_', er variable. La oss si at brukeren har ti forskjellige kontoer som skal ha vært sitt unike passord. Da kan brukeren lage en liste som følger:
Konto1: O J
Konto2: k 3
_logo.svg.png){kind=logo}
Konto3: v =
Konto4: 1 S
osv.
De to siste kolonnene i listen over viser de to variable tegnene som må settes inn i "malpassordet" for å få passordet til den enkelte kontoen.
Passordene blir da:
WvlO!zYpJ
Wvlk!zYp3
Brukeren behøver da bare å pugge malpassordet, resten slås opp i oversikten. Etter en stund vil brukeren også kunne huske de komplette passordene til de mest brukte kontoene, uten spesiell pugging.
Grunnen til at man ofte må ha et alternativt passord, skyldes at en del tjenester ikke støtter passord som består av annet enn bokstaver og tall, samt er av en begrenset lengde. Dette gjelder stort sett tjenester hvor behovet for sikkerhet ikke er like stort som ved innlogging med administratorrettigheter på en server. Likevel kan metoden over benyttes, begrenset av at det kun er bokstaver og tall som kan benyttes i passordet.
Generelt kan man si at sikkerheten til et passord økes ved at lengden økes, og at størrelsen på tegnsettet som benyttes økes (ved å ta med tegn som ikke er bokstaver eller tall). Begge disse punktene gjør det vanskelige for angripere å finne fram til passordet ved prøve-og-feile-metoden, fordi antallet mulige passord økes kraftig selv om passordet bare forlenges med ett tegn.
Selv når kun tall og bokstaver er tillatt, vil en økning i antallet tegn fra for eksempel seks til sju, øke antallet mulige passordet angriperen må sjekke 68 ganger (a-å, A-Å, 0-9), det vil si at det i verste fall vil ta angriperen 68 ganger så lang tid å finne fram til passordet. Med forbehold om regnefeil, finnes mer enn 6700 milliarder forskjellige passord på sju tegn basert på bare tall og bokstaver. Ved å legge til andre tegn som finnes på vanlige, norske tastaturer, får man omtrent 37 ekstra tegn å velge mellom. Dette øker antallet mulige passord bestående av sju tegn til mer enn 140.700 milliarder varianter.
Det å teste ut milliarder av passord er en prosess, som i stor grad avhenger av responstiden til systemet som angripes. Det kan fort ta tid. Selv med et system som takler tusen innlogginger i sekundet, vil det ta flere tusen år å få testet alle passordene bestående av sju tegn hvor også andre tegn enn bokstaver og tall er tillatt. Forhåpentlig vil en systemadministrator oppdage forsøk på inntrengning innen den tid.
Langt enklere er det hvis passordet finnes i en ordbok. Det begrenser utvalget betydelig, og angriperne kan da benytte ordene elektroniske oppslagsverk i sin leting etter passordet.
Skulle angriperen tross alt greie å få tak i passordet – noe som mest sannsynlig vil skje på andre måter enn ved hjelp av prøving og feiling, er det viktig at passordet ikke er knyttet til mer enn én eneste konto.
