Mye programvare og mange internett-relaterte tjenester som krever at brukerne logger seg inn med et passord, setter visse krav til passordene som brukerne benytter. Noen har også en funksjon som umiddelbart forteller brukeren hvor sterkt passordet angivelig er. Slikt som lengde, kombinasjoner av små og store bokstaver, sifre og spesialtegn kan alle bidra til å gjøre passordet sterkere. Likevel er slike målinger stort sett helt bortkastet. Dette mener i alle fall sikkerhetsrådgiveren Chester Wisniewski hos Sophos.
Ikke «brute force»
I en rapport skriver Wisniewski at passordstyrke-målerne kan fortelle noe om hvor godt passord kan stå imot et «brute force»-angrep, det vil si et angrep hvor alle mulige kombinasjoner av tegn testes, og alle gjetningene anses som like sannsynlige. Men dette er en form for angrep som ofte tar svært lang tid, også med kraftige datamaskiner.
– I virkeligheten er det slik at noen gjetninger er mer sannsynlige enn andre, fordi passordvalgene våre ikke er vilkårlige, men er bygger på mønstre og vaner, skriver Wisniewski, som understreker at moderne passordknekking handler om å knekke flest mulig passord med minst mulig innsats.
Mange forsøker å vanskeliggjøre passordene sine ved å erstatte for eksempel A med 4, O med 0 og E med 3. Men dette vet de som forsøker å knekke passord. Ifølge Wisniewski kjenner de også til at mange bruker store bokstaver, sifre eller spesialtegn bare i starten eller slutten av passordet.
Knekkes umiddelbart
For å demonstrere det hele, har Wisniewski tatt utgangpunkt fem gode eksempler hentet fra en liste med det som skal være de 10 000 mest brukte passordene. Passordene han valgte er abc123, trustno1, ncc1701, iloveyou! og primetime21.
Wisniewski skriver at samtlige er skrekkelig dårlige passord som ikke gir noen effektiv beskyttelse. De både korte, ikke-vilkårlige, inkluderer ord som finnes i ordbøker og har sifrene eller spesialtegnene på slutten.
Les også: Dette er de verste passordene
For å demonstrere dette tok Wisniewski i bruk den kjente passordknekkeren John The Ripper. Nøyaktig hvordan han har brukt verktøyet, er ikke oppgitt, men det er i stand til å kjenne igjen mange hashede eller krypterte passord og utleverer disse i klartekst.
På en vanlig, to år gammel bærbar pc ble samtlige av de fem passordene «knekket» så godt som umiddelbart, på under et sekund per passord.
Målingene
Deretter testet Wisniewski samtlige passord i fem ulike og mye brukte passord-styrkemålere som alle er basert på JavaScript-biblioteket jQuery.
Resultatet var nedslående. For det første var ikke målingene enige om hva som er et godt passord. Den ene av målingen oppga at alle passordene er gode, til og med abc123. En annen måling mente at alle, bortsett fra primetime21, er svake. Men siden alle disse passordene kan knekkes på under et sekund, bør ingen av dem anses som i nærheten av å være gode.
Det eneste som er sikkert ved disse målingene, er at de ikke er til å stole på. Men Wisniewski forteller at forskning gjort av Microsoft viser at målerne likevel har en positiv effekt, nemlig at de som så en slik måler har en tendens til velge et sterkere passord enn de som ikke så en slik måler.
Sterke passord?
Det som kanskje savnes i rapporten til Wisniewski, er en beskrivelse av hvordan man lager seg et sterkt og godt passord. Det finnes riktignok flere ulike meninger om dette, men det bør i alle fall ikke være noen som finnes i listen topp 10 000-listen som Wisniewski viser til, og heller ikke noe man uendret finner i en ordbok. Dersom det er et passord som man ikke behøver å huske til enhver tid, men som kan lagres for eksempel i nettleseren eller et annet, antatt trygt sted, så er selvfølgelig en lang kombinasjon av helt vilkårlige tegn et godt valg.
Men de færreste greier å huske lange rekker med vilkårlige tegn. Microsoft har på denne siden publisert en del råd passord, blant annet om hvordan man lager passord som er både sterke og forholdsvis enklere å huske.
