Flickr - stefano girardi



Forfatter til retningslinjer for kodeord fortryder sine råd

Via The Verge - , indsendt af arne_v

Bill Burr udgav som leder af NIST, National Institute of Standards and Technology, i 2003 ‘NIST Special Publication 800-63. Appendix A’ med retningslinjer for, hvordan man vælger sine kodeord til computer, e-mails osv.

I dag fortryder han de råd, som blandt andet inkluderede, at man skulle skifte kodeord hver tredje måned, og at kodeord skal indeholde små og store bogstaver.

Burr, der er pensionist i dag, vurderer, at retningslinjerne har været med til at gøre fok dovne, når de opfandt kodeord. Man kommer til at bruge samme kodeord eller samme teknik til at vælge alle sine kodeord, så de er til at huske senere.

I stedet bør kodeord være uden mening eller metode-sammenhæng med ens andre kodeord. En central ‘password manager’ kan også være vejen frem.

NIST udgav i juni nye retningslinjer for kodeord, hvor mange af 2003-retningslinjerne er ændret.





Gå til bund
Gravatar

#1 Wiking 9. aug. 2017 07:36

Jeg tager den nemme, alle mine koder er ****
Det er til at huske. ;)
Gravatar

#2 ScorpD 9. aug. 2017 08:50

Jeg har et par Mooltipass Mini's som sådan set fungere udmærket, så længe man husker at smide det medfølgende USB kabel ud og bruge ét af ordentlig kvalitet.

De har et ret godt community, hvor de gladelig hjælper folk, så længe det ikke drejer sig om udvikling af Windows/.Net plugins…

Jeg havde lovet mig selv ikke at bruge Chrome’s kodeordshusker, men det er godt nok svært.
Mooltipass er let at bruge, men de små (nødvendige) ting man skal gøre for at bruge den, gør det bare meget tiltrækkende at bruge Chrome i stedet:

1. Tryk på hjulet/bank i bordet for at godkende login og tilføjelse af nye user/passwords.

2. Bruge hjulet til at vælge bruger, når man har flere brugere til den samme hjemmeside/program.

3. Indtast pinkode, som minimum, hver gang den mister strøm.

4. Indtast pinkode bare fore at komme ind i Credentials Management Mode.

5. Kortet bliver wiped efter 3 forkerte PIN forsøg.
Gravatar

#3 mrtb 9. aug. 2017 10:55

Sjovt at han først trækker dette tilbage nu - Det er ved at være pænt lang tid siden at XKCD lavede en comic med det, så det er da ikke ligefrem ny viden.
Gravatar

#4 gramps2 10. aug. 2017 07:21

#3
Fire ord er ikke specielt modstandsdygtige overfor et dict attack.
Gravatar

#5 mrtb 10. aug. 2017 07:56

gramps2 (4) skrev:
#3
Fire ord er ikke specielt modstandsdygtige overfor et dict attack.


Jeg kunne måske også bare læse artiklen, hvor de omtaler præcis den XKCD comic jeg linker til.
Det giver mening for mig at et dictionary attack ville gøre det let at bryde disse passwords - Men nu er det også det artiklen anbefaler.

De skriver bl.a. følgende:
The password “correct horse battery staple,” written as a single phrase, would take 550 years. (Security experts have confirmed Munroe’s math, according to the WSJ.)


Så må der vel være et eller andet om det?
Gravatar

#6 gramps2 10. aug. 2017 08:39

#5
CHBS ville skam tage lang tid at knække. Men den password-teknik forudsætter at der ikke er en begrænsning på længden af kodeord. Jeg har oplevet steder, hvor man har 8 tegn at gøre godt med. Vil "JobFruit" være mere sikker end "2Nr7&Bx6"?

Dertil kommer det faktum at man stadig skal huske hvilket password man bruger hvor. At huske en historie er ikke svært. At huske fem er besværligt - at huske 15 er næsten umuligt.

Folk skal uddannes/opfordres til at bruge password managers. Uanset din hukommelsesteknik kan du ikke lave et password så sikkert som
4ASEnaFzA$26CwDF#4Hj1FnM&IA5X&ACAZ2i^ZzCGnojxS2HUpo0a@EiuJUL@!7$L9xv3ACjpowydPpG9u*rIEIK6D&5KtkM0Lgw
, som er let at huske. Især ikke med forskellige kodeord til hver tjeneste. Om man bruger 1Password, KeePass, LastPass, Roboform eller hvad ved jeg er underordnet. Selv Chromes indbyggede password manager er bedre end egen hukommelse.
Gravatar

#7 PHP-Ekspert Thoroughbreed 10. aug. 2017 15:55

#6

Jamen, hvad hvis tjenesten bliver kompromitteret - eller du glemmer netop det pass - eller noget helt tredie?

Ude på mit arbejde bruger vi et stykke software som vi selv har skrevet. Men selv det har selvfølgelig svagheder.

Mit bedste bud er næsten et dokument på telefonen, eller en post-it i pungen.
Doner til Kræftens Bekæmpels i forbindelse med JJ's for tidlige afsked: https://www.betternow.org/dk/jjnewzdk
Gravatar

#8 Jim Night 10. aug. 2017 20:48

#6 Hvordan sikrer du ar din PW manager er sikker??

#7 Af de to foretrækker jeg en lap papir i pungen! Hvis den en dag forsvinder, kan jeg se det øjeblikkeligt...
Gravatar

#9 PHP-Ekspert Thoroughbreed 11. aug. 2017 04:30

Jim Night (8) skrev:
#6 Hvordan sikrer du ar din PW manager er sikker??

#7 Af de to foretrækker jeg en lap papir i pungen! Hvis den en dag forsvinder, kan jeg se det øjeblikkeligt...


For du opdager ikke hvis din telefon er væk?
Men ja - har det lidt på samme måde. Den PW manager vi bruger på arbejde er selv skrevet, og DB'en kører lokalt (og er så krypteret at man ikke forstår en hat) - koden til den har jeg så i min pung (selvom jeg nok ikke glemmer den lige foreløbigt)
Doner til Kræftens Bekæmpels i forbindelse med JJ's for tidlige afsked: https://www.betternow.org/dk/jjnewzdk
Gravatar

#10 ScorpD 11. aug. 2017 06:20

PHP-Ekspert Thoroughbreed (7) skrev:
Mit bedste bud er næsten et dokument på telefonen, eller en post-it i pungen.


Eller en hardware-baseret password-manager...

Det kan godt være at Mooltipass er lidt bøvlet at bruge, men den er nu ret sikker.

Jeg har også taget fat i Stephan for at høre om en simpler & endnu mindre udgave med batteri kunne komme på tale.
Gravatar

#11 PHP-Ekspert Thoroughbreed 11. aug. 2017 07:53

ScorpD (10) skrev:
Eller en hardware-baseret password-manager...


Men hvordan virker den? Hvad gør du hvis den crasher eller går i stykker? Er alle dine koder så tabt?
Doner til Kræftens Bekæmpels i forbindelse med JJ's for tidlige afsked: https://www.betternow.org/dk/jjnewzdk
Gravatar

#12 gramps2 11. aug. 2017 08:08

Jamen, hvad hvis tjenesten bliver kompromitteret - eller du glemmer netop det pass - eller noget helt tredie?
Hvis tjenesten bliver kompromitteret er man på skideren. Ligesom hvis den tjeneste, hvor man har en almindelig bruger, kompromitteres og man kun har det ene password.

Jeg køber ikke scenariet at man glemmer netop dét ene password. Hvis man glemmer det ene password glemmer man nok også CHBS + de mindst 5 andre man skal have. Det er en ikke-situation.

En passwordmanager er bedste løsning. På samme måde som et demokrati er bedste styreform. Ikke uden problemer, men bedre end alternativerne. (Din post-it kan kopieres og lægges tilbage uden din viden - især et problem hvis du ikke har "krypteret" dine nedskrevne kodeord)

Jim Night (8) skrev:
#6 Hvordan sikrer du ar din PW manager er sikker??
Altså udover at det er en krypteret KeePass-database med hardware token, og som jeg har en ekstern, dobbeltkrypteret backup af? Så er den helt og aldeles usikker.
Gravatar

#13 ScorpD 11. aug. 2017 08:15

PHP-Ekspert Thoroughbreed (11) skrev:
ScorpD (10) skrev:
Eller en hardware-baseret password-manager...


Men hvordan virker den? Hvad gør du hvis den crasher eller går i stykker? Er alle dine koder så tabt?


Det er muligt at synkronisere/tage backup af den krypterede database.
Derudover kan hver enhed have flere databaser (flere fysiske bruger).

Så jeg har én i tasken, én på hjemmekontoret, og én i pengeskabet.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login