mboost-dp1

sxc.hu - simonok

Mange sløser med deres adgangskoder

- Via TG Daily -

På nettet støder man konstant på steder, hvor man skal anvende en adgangskode – det være sig lige fra netbanker til sociale netværkstjenester og fora.

I Storbritannien har fimaet CPP kigget nærmere på briternes omgang med deres adgangskoder, og det ser ikke for godt ud.

En meget udbredt sikkerhedsrisiko er at anvende den samme kode til mange forskellige tjenester og tilmed ikke skelne mellem vigtige og mindre vigtige tjenester. Således anvender næsten halvdelen af briterne den samme kode til både netbank, online-butikker og blogs.

Omkring 40 % af de adspurgte indrømmede også, at mindst én anden person kendte til deres kode, typisk en ægtefælle eller kæreste. Selv når et forhold gik i stykker, havde mange ikke fået skiftet deres adgangskode.

Kompleksiteten i adgangskoderne er ofte heller ikke særlig god. 20 % anvender gerne navnet på deres kæledyr som kode, 12 % anvender en dato, og 10 % bruger navnet på et af deres børn.





Gå til bund
Gravatar #1 - ghostface
4. jan. 2010 13:53
konceptet password bør også få en overhaling i fremtiden.
Der kommer flere og flere ting på nettet der kræver et ID/Login. Almindelige mennesker kan og vil ikke huske mere end 1-3 passwords hvilket unægteligt gør diversiteten bliver lavere.

Det kan ikke passe vi som mennesker stadig benytter noget så lowtech som en serie bogstaver til at identificere os selv på nettet.

Jeg har personligt 4 passwords. Et til homebanking/digisig, et til vigtige internet ting (ja de deler også), 1 til lort (som er ufatteligt simpelt) samt et på arbejde (som de tvinger mig til at ændre hver 3. måned, hvilket har den effekt det bliver mere og mere simpelt hver gang)

Nogen må finde på noget nyt! Vi gidder ikke de passwords, de er usikre og inviterer til snøl.
Gravatar #2 - Adagio
4. jan. 2010 13:57
Det at mange sløser med deres adgangskode kommer ikke som nogen overraskelse. Min mor ville godt have brugt koden 1234 ved hendes netbank (det er jo svært at huske et kodeord), men det fik jeg da i det mindste stoppet hende for at vælge

Her på arbejdet bruger langt størstedelen også meget simple kodeord. Jeg ville kunne gætte mig til over halvdelen af de kodeord folk bruger (og det hjælper ikke meget at koden står skrevet på et papir på skærmen)

Jeg er da heller ikke den bedste til at vælge adgangskoder, men mine netbanker har koder jeg ikke bruger andre steder og er ikke noget man lige umiddelbart vil kunne gætte

Dog må jeg da sige at der også er nogle steder der direkte opfordrer en til at have dårlige adgangskoder.
Min tyske netbank er den værste jeg nogensinde har set: Koden skal være mellem 4 og 8 CIFRE. Ingen bogstaver, ingen tegn og højst 8 tal... og det er ved en netbank... og for at gøre det endnu værre, så bliver der ikke gemt noget certifikat/nøgle på computeren, så man kan logge ind overalt i verden... og ens "bruger-navn" er på 5-6 tal
Jeg mener også jeg har set at ved Nordeas netbank kan man ikke bruge store bogstaver (eller rettere, den ser vidst ikke forskel på store/små bogstaver)
Gravatar #3 - vulpus
4. jan. 2010 14:02
http://agilewebsolutions.com/products/1Password
og http://www.acrylicapps.com/wallet/
hjælper mig med at huske og generere passwords osv.
Gravatar #4 - HydrA
4. jan. 2010 14:05
"Kompleksiteten i adgangskoderne er ofte heller ikke særlig god. 20 % anvender gerne navnet på deres kæledyr som kode, 12 % anvender en dato og 10 % bruger navnet på et af deres børn."

Tak for de statistikker, så ved jeg hvordan min næste wordlist skal se ud :P.. Eller nå jo, denne info er jo noget vi har vidst længe :)
Gravatar #5 - Orange
4. jan. 2010 14:05
Jeg genbruger passwords i ét væk, man har sgu efterhånden for mange logins til at kunne holde styr på det hele.
Gravatar #6 - Magten
4. jan. 2010 14:06
Vil tro jeg har 25-30 forskellige koder jeg bruger. En sjælden gang imellem kan jeg ikke huske koden til en side, men så er det jo som regel smertefrit at få skiftet den..

Det er koder lige fra 6 bogstaver (alle småt) til længere koder med tal/bogstaver (store og små) og tegn..
De besværlige koder bruger jeg kun på arbejdet og til kryptering derhjemme..

Gravatar #7 - LordMike
4. jan. 2010 14:07
Hvad med en fingeraftrykslæser i alle computere?...
Når vi så har biometriske ting der virker, så bliver næste problem at passwordet / hashen af dit fingeraftryk bliver sendt i cleartext...

Så skal den jo krypteres for hver afsendelse, så hashen afhænger af en salt...

Og så begynder vi at nærme os noget der er praktisk... :P

Btw.. Firefox password remember :D
Med XMarks, så skal du i princippet kun huske én pin...

Virker self. ikke i java / flash apps etc... (Netbank (Java)).
Gravatar #8 - mathiass
4. jan. 2010 14:14
Hvad med en fingeraftrykslæser i alle computere?...
Fingeraftryk er ikke sikkert. En finger-læser i en computer er en gadget, ikke mere og ikke mindre. Det er (meget) let at snyde, kopiere eller påvirke læsningen af sådan noget.
Når vi så har biometriske ting der virker, så bliver næste problem at passwordet / hashen af dit fingeraftryk bliver sendt i cleartext...
En læsning fingeraftryk giver ikke et unikt tal som er ens hver gang den samme finder læses. Derfor er en hash af sådan en læsning fuldstændig ubrugelig.
Gravatar #9 - Unbound
4. jan. 2010 14:15
#7
biometrisk skanning er ikke brugbart til andet end enkelte hardware løsninger, hvor de forhindre dig i at få adgang til genstande eller områder. Som kode til software kan du lige så godt køre en md5 på din mosters fødselsdag for en ubrydelig kode.

Men så er spørgsmålet, hvor mange herinde genbruger kode til deres email steder hvor ens email er oplyst eller bruges som brugernavn? en eller anden dag skal jeg have lavet mig en hjemmeside med brugerlogin, så jeg kan nasse mig nogen emailkonti :)
Gravatar #10 - Marci
4. jan. 2010 14:18
Det jeg umiddelbart ser som et problemet er de mange restriktioner rundt omkring, her er netbanken et glimrende eksempel.. Det kan godt være at folk har et "avanceret" password de bruger de steder det er vigtigt, for der er jo nogle sider der KRÆVER man har store/små bogstaver, tal og specieltegn, det bliver så bare et problem, med de sider der ligefrem nægter en fx at bruge specieltegn (fx Nordea netbank), så er folk nemlig tvunget til at finde på endnu et nyt password.
Som der også bliver nævnt i kommentarene, så hjælper det heller ikke at man skal skifte password fx hver tredje måned, og det må ikke være en af de 64 sidste, for så er det at selv om man godt vil have en ordenlig kode, så ender det med noget vanvittigt simpelt, for ellers kan man ikke huske det, og det nytter jo heller ikke meget hvis man laver et password, som er så avanceret, at man bliver nød til at skrive det ned, for så er det jo heller ikke særlig "hemmeligt"/sikkert mere..

Den bedste løsning for brugeren pt. vil jeg sige er at have omkring 3 forskellige passwords, også prioritere alt efter hvor vigtig tjenesten er..
Gravatar #11 - henne
4. jan. 2010 14:29
#10: P@ssw0rd virker de fleste steder som er "sikkert" password. :-)

Problemet i alle disse regler omkring password-politik, er at revisorerne ikke ser alle de gule sedler som det medfører under tastaturer rundt omkring.
Gravatar #12 - Kyoobix
4. jan. 2010 14:30
Hvis ikke det var fordi jeg var så ualmindelig doven, ville jeg ønske man kunne kombinere sit kodeord med ens mobil nr.

1. Indtast brugernavn og adgangskode
2. Modtag sms-kode
3. Indtast sms-kode

Det sikre at koden kan spredes vidt og bredt uden mulighed for login.
Gravatar #13 - Slettet Bruger [4146315386]
4. jan. 2010 14:41
Jeg synes på et punkt jeg er god med mit password. over 8 tegn, flere store passwords, indeholder tal. og er ikke skrevet i klartekst nogensteder.

Problemet at jeg så bruger den over det hele. har kun 3 forskellige passwords jeg bruger rundt på nettet. ^^ men er undervejs til at tilføje ét til.

Derudover en ORDENTLIG stak passwords på arbejde. ( som systemadmin er det hårdt ) og jeg giver hermed dét skylden for at jeg ikke dur til at huske så meget andet ^^
Gravatar #14 - kbm
4. jan. 2010 14:47
jeg har et krypteret side
med en kode af svær grad;
her i skriver jeg alle de ting som er for besværlig at huske
og / eller som sikkerhed ( password,sim-kortkoder mm) ..
så skal jeg kun huske een kode hvis det går galt.

Alternativt kan man benytte en bankboks hvis man alligevel har en
sådan...



Gravatar #15 - blackthorne_dk
4. jan. 2010 14:53
Dejligt ironisk at det tog mig 3-4 forsøg at gætte hvilken kombination af brugernavn / password jeg har på newz.dk, for at kunne kommentere denne nyhed :S

Generelt har passwords jo spillet fallit. SMS koder kunne være en smart ting, men de kræver stadig en ekstra faktor. For at systemer betragtes som værende sikre, skal de sikres af både noget du har i din besiddelse, og noget du ved. Fx kan det være et password og en mobil. Hvis du kender password og modtager en unik indgangsnøgle via den modtagne sms så er du i stand til at logge ind. På den måde kan en falsk side ikke bruge dit password til ret meget, da de skal sniffe din sms samtidig for at bruge passwordet til noget.
Gravatar #16 - dlc
4. jan. 2010 14:56
At jeg har nogle af mine password liggende foran mit tastatur derhjemme kan jeg ikke se problemet i, jeg invitere ikke folk indenfor som jeg ikke stoler på, hvis jeg har indbrud så lur mig om jeg skulle være så uheldig at det netop er den eneste tyv i hele DK(nok også verden) der imens han er ved at slæbe af med min bærbar, gider tage sedlen med sætte sig ned et eller andet sted og begynde at gå på min netbank - i stedet for at gå ned på den nærmeste kro sælge lortet købe crack for pengene og ikke kunne huske hvor han er efter fem min...
Så kan han jo give sedlen videre med min bærbar!!! yair right Tommy som køber den og vil sælge den videre i polen har sgu hellere ikke overskud til at sidde og fidle rundt om den....
Gravatar #17 - Marci
4. jan. 2010 14:58
@14
Ideen med at samle alle passwords ét sted, er jo heller ikke det mest geniale, efter som det så kun er et password der skal bruges, til at skaffe adgang til det hele alligevel, men selvfølgelig ingen løsninger er perfekte..

@15
hæhæ, er heller ikke helt sikker på hvad min kode er, den er dog husket i browseren :p
Problemet som du også skriver med SMS koder er jo bare at folk så skal have sin mobil på sig.. Der ud over er det da helves besværligt hvis man skal modtage en sms for hver side du logger ind på :)
Gravatar #18 - bodhiBit
4. jan. 2010 14:59
supergenpass.com

jeg har et password for hver website jeg har en konto på.. Jeg behøver ikke huske dem eller ha dem gemt nogen steder..
Gravatar #19 - David Munch
4. jan. 2010 15:04
Jeg passer heldigvis rigtigt godt på min kode som jeg bruger alle steder, og da den er "Delta75Amiga12" er den jo også rigtigt svær at gætte!
Gravatar #20 - libormortis
4. jan. 2010 15:43
ohh kan huske de gode gamle dage, der havde jeg et pass ord på 4 bogstaver, så skulle der ligepluslig være tal i, efter der skulle der også være mindst 7 tegn, suk prøv at få folk til at huske en sådan en kode %1AaIk($Pp?
ps.
dette er ikke min kode så lad være at prøv ;)
Gravatar #21 - Odyssey
4. jan. 2010 15:48
#1: Rigtig god post! Jeg giver dig ret. Faktisk undrer det mig at man ikke har udbredt et koncept i stil med den digitale signatur til at omfatte alskens logins.

Een ting der især pisser mig af er udskiftning af passwords uden mulighed for genbrug!
Gravatar #22 - cazotaro
4. jan. 2010 15:54
Personligt har jeg omkring 3 passwords, men bruger primært to af dem, et til vigtige ting og et til alt muligt bras.

Men jeg har intet problem med at huske selv rimelig komplicerede passwords, bare jeg ikke har for mange forskellige, for jeg har svært ved at huske hvor jeg bruger hvilke.
Oftest når jeg ændre password til messenger og mail (hver 72. dag) og dermed i mine andre vigtigere ting går der ca. 3 logins før koden sidder i mine fingre og til sidst tænker jeg knapt over hvad jeg taster, men logger bare ind.
Derudover har jeg en anden kode til e-boks, SU osv. som jeg indtil videre er nød til at finde hvergang fordi jeg bruger den for lidt. Men det skal nok komme.

Min farfar kan huske telefonnumre til alle mulige mennesker, hvis han brugte computer ville han helt sikker ikke have svært ved at huske sværere passwords. På sammen måde kan jeg ikke se hvorfor computer-analfabeter skulle have sværere ved at huske et password end et telefonnummer eller en pinkode, det handler om at lade være med logge ind efter en seddel og i stedet bruge hovedet.

For at skabe svære passwords benytter jeg simpel 1337-key, ved simpelt at finde eller andet skørt ord og så omskrive det.
Gravatar #23 - BluepaiN
4. jan. 2010 15:59
#12

Sådan er det ude på mit arbejde. Man logger på med en almindelig kode, får tilsendt en sms med en random kode (som man har 2 minutter til at taste ind) og først derefter kan man begynde at lave noget.

Egentlig forholdsvis sikkert, for det kræver som sagt, at man har vedkommendes mobiltelefon samt kan den almindelige adgangskode. Mangler man en af delene, så kan man ikke logge ind.

Og for lige at tilføje til selve topic: Det er jo klart, for hvem kan huske den 25 cifrede lange kode med specialtegn, cifre og bogstaver? Så er det nemmere bare at have et par stykker man skifter imellem, med forskellige variationer (ex password1, password12, 12password, etc).
Gravatar #24 - mcp_dk
4. jan. 2010 16:16
#21
Det har www.myopenid.com faktisk noget i stil med. Man kan linke sit openid til et certifikat eller en meget stærk kode og så linke sine logins til openID.

Gravatar #25 - torben09
4. jan. 2010 16:27
Jeg bruger RoboForm. Den er super, så jeg kan vælge de mest sindssyge koder og behøver ikke at huske. Der er også back-up i den, så man kan gemme de dyrebare koder
http://www.roboform.com/php/land.php?affid=geug4&a...
Gravatar #26 - Chrismo
4. jan. 2010 17:29
#16
Der synes jeg du har ret. Jeg mener dog at hvis du har koden til din netbank liggende ved din computer kan du lige så godt have dine kontanter liggende der. Lidt som at skrive sin kode bag på dankortet.
Gem koder et sted der er lige så sikkert som det de giver adgang til.
Eller skriv dem et sted man ikke vil se efter dem. f.eks nederst på salmebogens næstsidste side eller i sokkeskuffen. Det er nemt at komme til, men ikke steder man umiddelbart vil kigge.
Gravatar #27 - Mort
4. jan. 2010 17:40
Det er meget fint med alle de forskellige password huske programmer, men kan du bruge dem til at logge på dit domæne med ? Hvad med dine online spil, kan de bruges der ?

Passwords er forældede, vi skal enten helt væk med dem eller bruge et system som accepterer samme kode alle steder (Det vil sige, ikke kun på websider). Det passer mig fint hvis koden kun virker sammen med et nøglekort, USB stick, mobiltelefon eller lignende fysisk enhed som ikke bare kan aflures og kopieres.
Gravatar #28 - TheAvatar
4. jan. 2010 17:54
Så svært er det altså ikke at huske kodeord.
Det er et spørgsmål om vilje, og lige at tænke sig om.
Jeg vil tro, at jeg kunne lire ca 150-200 passwords af med tilhørende varierende brugernavne/emailadresser.
Dette værende mine egne login-sæt, men ligeledes også på mange af kunderne i den virksomhed jeg arbejdede i før.

Personligt har jeg nok ca 15-20 kodeord, og varierende brugernavne/emailadresser.
Gravatar #29 - ÅÅÅH
4. jan. 2010 18:26
Den bedste beslutning jeg nogensinde har taget i den afdeling har været at installere KeePass. :)
Har 172 accounts, alle med passwords i stil med "HWUOKqBYPGa5RfLOAvn5", mens brugernavne er altid noge få tilfældige keyboard-punches. :p
Gravatar #30 - incinerator
4. jan. 2010 18:58
Efter Newz.dk-password-leak-skandalen skiftede jeg alle passwords til mit eget system. Et sikkert password blandet med nogle bogstaver (på bestemte steder) af navnet (eller måske noget af navnet) på det sted jeg vil logge ind.

Det er et system som gør at jeg har forskellige passwords til alle sites, men bliver ét password lækket, kan man ikke ud fra det ene password gætte sig til mit system, da man ikke kan se hvad der stammer fra hvad.

Store og små bogstaver, samt tal kommer også i et bestemt system.

Gir det mening?

I starten var det lidt langsommere at logge ind, men det lærer man hurtigt, og så tit bruger man jo heller ikke passwords. Fordelen er at man kan logge ind på alle sites ved kun at huske brugernavn, ét password og et system.

-------------
Og lad være med at huske passwords i browseren, da jeres venner kan se alle jeres passwords i firefox ved at klikke Tools, Options, Security, Saved Passwords, Show Passwords.
Gravatar #31 - .dot
4. jan. 2010 19:01
LordMike (7) skrev:
Hvad med en fingeraftrykslæser i alle computere?...

Virker så bare ikke for fysisk handicappede.
Gravatar #32 - graynote
4. jan. 2010 19:19
Således anvender næsten halvdelen af briterne den samme kode til både netbank, online-butikker og blogs


Alene det, at de (halvdelen af alle adspurgte!) er villige til at fortælle, at de bruger samme koder til banker og blogs vidner om, at de sløser med password-sikkerheden..

..jeg kunne i alle fald ikke drømme om at fortælle nogen - undersøgelse eller ej - om der er sammenfald i mine login og pass'.
Gravatar #33 - myplacedk
5. jan. 2010 07:33
For mig at se er openid el. lign. det perfekte næste skridt.

Vi er godt på vej med den nye "Digital Signatur". Samme måde at logge på netbank og alle mulige offentlige hjemmesider, og ingen af hjemmesiderne ved andet end hvem du er.

Til "almindelige hjemmesider" bruger jeg allerede i dag openid. Jeg logger ind på fx. newz.dk, facebook og stackoverflow med openid. På mine egne computere har jeg et certifikat, så login foregår automatisk, eller jeg skal kun indtaste min id. Til login fra fremmede computere har jeg ét password. Certifikater og password er kun kendt af min openid-provider, hjemmesiderne kender kun min id.

Vupti, problem løst.
Gravatar #34 - Mort
5. jan. 2010 07:52
TheAvatar (28) skrev:
Så svært er det altså ikke at huske kodeord.
Det er et spørgsmål om vilje, og lige at tænke sig om.
Jeg vil tro, at jeg kunne lire ca 150-200 passwords af med tilhørende varierende brugernavne/emailadresser.
Dette værende mine egne login-sæt, men ligeledes også på mange af kunderne i den virksomhed jeg arbejdede i før.

Personligt har jeg nok ca 15-20 kodeord, og varierende brugernavne/emailadresser.


At du er i stand til at huske 150-200 kodeord, med dertil indeholdende tal og store og små bogstaver, betyder altså ikke at alle andre mennesker er i stand til det samme. Størstedelen af den menneskelige befolkning har ikke en sådan hukommelse, hvilket er grunden til at samme password bliver genbrugt så mange steder.
Gravatar #35 - JannickS
5. jan. 2010 08:04
Jeg har en 3-4 passwords jeg bruger rundt omkring. Må nok indrømme at jeg ikke rigtig skælner mellem vigtige og mindre vigtige ting.

Men det mest frustrerende er, at jeg ikke engang kan benytte mit std. password ved min netbank (Sydbank) fordi de ikke tillader tegn.

Har forsøgt med mange forskellige passwords, men så har jeg været nødt til at lave en form for databse med dem i, hvilket jo også er mindre smart.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login