Lave pass-words, man husker


(vaf) #1

Med baggrund i denne artikel http://www.bt.dk/tech/manden-bag-verdens-sikreste-password-traekker-i-land-jeg-tog-fejl

Gæster man sin hukommelse, er der ting vi aldrig glemmer, eller altid husker, og derfor ikke behøver at skrive det ned og gemme væk.

Det kan fx være sætninger,ordsprog, citater, en verselinie osv. osv. - og at passwordet / sætningen kan være langt, er godt, og betyder mindre, da det ligger ligefor og lagret i hukommelsen.

Nogle, lige ud af landevejen, eksempler :

davmitnavnerlarslarsenjegharetgodttilbudtildig
dererikkefejetnogetindundergulvtæppet
tyvtrorhvermandstjæler
ididnothavesexualrealationswithtahtwoman
ienlillehaveipilealle
denknaldrødegummibåd

Omskrivninger og ordspil er også gode, fx hvad med - dereringenispåkoen eller handlinggiverforvandling

Prøv selv, fx her https://howsecureismypassword.net/


(Ejvindh) #2

Jeg er langt henad vejen enig i ovenstående råd. Dog mener jeg alligevel der sikkerhedsmæssigt kan vindes en del ved at indføre to ekstra hensyn. Og det ene hensyn har så dertil den fordel, at den vil betyde at hjemmesiderne også accepterer kodeordet.

(1) For det første giver det rigtig meget ekstra sikkerhed, hvis man ikke kun bruger små bogstaver, men også store bogstaver, tal og tegn. Og dette er faktisk også et krav på de fleste hjemmesider, derfor vil dine kodeord herover faktisk ikke blive accepteret mange steder.
(2) Et andet forhold som måske er mindre påtrængende for os danskere, men alligevel, er, at de fleste hackere starter ud med ordbogsopslag. Så hvis der er genkendelige ord, så sænker det sikkerheden.

Men begge dele kan løses nogenlunde nemt med lidt kreativ brug af ovenstående trick: Hvis man fx laver:

davmitnavnerlarslarsenjegharetgodttilbudtildig

…om til:

davmitnavn=LarsLars1jeghar1godttilbudtildig

Eller bedre:
hererensangomenmandderhedlarsen
til:
h==1sangom1mandd=hedLars1

Jeg har også nogle endnu bedre, men dem vil jeg ikke ud med, for dem bruger jeg selv :wink:


(vaf) #3

Du har ret i at der opstår et problem på en del hjemmesider, fordi der sættes krav og begrænsninger til sammensætning og i længde af passwordet - og det er skam for brugerne, der derved tvinges ud i en bestemt form - det burde de revidere og holde op med.

Jeg er enig i, at man kan gøre livet ekstra svært for en hacker, ved at indføje visse forhindringer, men jo flere tegn der tilføjes, jo sværere kan det blive at huske, og kan ende med at det alligevel må skrives ned og gemmes væk.


(Ejvindh) #4

Nå, normalt plejer jeg at være meget enig i det meste af, hvad du skriver, men det er jeg nu ikke lige her. Jeg synes faktisk det er et fremskridt at websider er begyndt at stille krav til passwords sikkerhed. Vi kan naturligvis godt diskutere præcis hvilke krav. Men jeg ser det f.eks. som et stort fremskridt at man ikke længere kan få lov til at bruge “pass” som password; og vores alles sikkerhed er nok også blevet bedre af, at “admin” ikke længere har lov til at registrere sig med passwordet “admin” :wink:

Og angående det andet, så mener jeg ikke det er sværere at huske. Man skal jo bare gøre det efter et præcist system, som man selv definerer. Her altså:

= --> er[lig-med]
1 --> en/et
Stort bogst. v. navne


(vaf) #5

Nu er det lykkeligvis sådan, at man kan se forskelligt på ting, det er jo det der ligesom giver dynamik. :slightly_smiling_face:

Sådan som jeg læser og forstår den indledende artikel, hvor det fremhæves, at der sikkerhedsmæssigt ikke er vundet noget ved det blandingsforhold i passwordet der indtil nu har været anbefalet, og dermed svært at huske. Derimod vil lange hele ord og sætninger være sværere at knække og meget lettere at huske - og den hest holder jeg på.

At benytte password som pass og admin er helt hen i vejret —

Og jo, jeg forstår godt dit tegnsætningseksempel.


(Ejvindh) #6

Jeg er enig i, at et meget langt password med kun små bogstaver kan være lige så godt som et 8-tegns password med både tegn/tal/versaler (som er det typiske krav).

Men når han siger, at det ikke bliver mere sikkert med de ekstra kompleksitetskrav, er det jo ikke med matematikken, men psykologien i bagagen. Matematisk set ER det mere sikkert med sammenblanding end uden – hvis længden er den samme. Når han alligevel kan have ret, skyldes det, at vi psykologisk laver “genveje” – såsom at genbruge passwords – hvis kravet bliver for komplekst. Og så bliver den resulterende sikkerhed i sidste ende lavere.

Det mener jeg han har ret i. Løsningen på det problem er at opfinde nogle personlige systemer, som gør det nemmere at huske komplekse passwords. Også det er jeg enig i. For ikke-englændere mener jeg også hans konkrete løsning kan være ok. Man skal så bare være opmærksom på, at den kan være sårbar overfor ordbogsangreb.

I sidste ende er pointen vel, at han vil have os til at lave passwords efter nogle systemer, som vi kan huske, og som hackerne ikke kender. Personligt synes jeg ikke mit addon gør det så meget sværere, og så har den nogle ret store sikkerhedsmæssige gevinster. Men det skal folk jo gøre op med sig selv.

Måske kunne en mellemløsning være, at man undlader at man i det mindste indfører et tegn som adskiller mellem de enkelte ord. Og man så finder en sætning med et egennavn, så man kan få en versal med også. Så

bliver til

Men foreløbig falder også denne løsning på, at den ikke opfylder de standardkrav (her mangler et tal), der i øjeblikket typisk kræves af software rundt omkring.


(vaf) #7

Det er en interessant analyse du beskriver Ejvindh :slightly_smiling_face:

Citat " Matematisk set ER det mere sikkert med sammenblanding end uden – hvis længden er den samme." - - Det er så det de ikke er i virkelighedens verden.

Engang fik jeg på en hjemmeside tildelt et 8cifret password, noget i stil med BpKxz3g4 og ved besøg på siden måtte huskesedlen som regel frem - - og allerede der er et sikkerhedspunkt blevet usikkert, idet huskesedlen rimeligvis må være indenfor rækkevidde for dig selv, og hvem ved, muligvis også for andre.

Det forhold ændres radikalt ved fx en helsætning, af den slags man altid husker. Det der så er / kan blive spørgsmålet, er om der gives mulighed på websiden til at benytte det password man har i tankerne.

Et andet aspekt der kan vise sig, er dernæst at huske hvilket login navn og password der hører til hvor. Har man kun enkelte og få sider man besøger og logger ind på, er det til at overskue. Men har man nogle stykker og måske mange, skal der måske og aligevel en huskeseddel til, skrevet i en udefinerbar kryptisk form – Og svigter alt, findes muligheden i loginruden - jeg har glemt mit password -


(vaf) #8

Dette emne blev automatisk lukket 30 dage efter det seneste svar. Nye svar er ikke længere tilladt.