Det sies jo at man skal være påpasselig med passordene sine. Man skal ha et unikt passord, gjerne på 8 eller flere tegn, og det skal helst inneholde både store og små bokstaver, tall og hva veit ikke jeg. Det skal altså være alt annet enn det vi mennesker lettest husker, nemlig ord.
I disse sosiale-nettsted-tider har man jo gjerne 5-6-7-8 kontoer på nettsteder, datamaskiner, pcer og diverse slikt. Jeg vet ikke hvordan det er med deg, men jeg er ikke autistisk nok til å klare å gå rundt og huske 20 passord på formen 8ek7eruR. Dermed har jeg begynnt å tenke litt, og kommet opp med et par strategier som kanskje burde gjøre ting enklere. Jeg kan ikke huske å ha sett dem før, så korriger meg gjerne. Fint om du også kommenterer om det er en smart metode, eller bidrar med din egen.
Metode 1: Felles stamme + tjenesteavhengig del. Ok, jeg klarer kanskje å lære meg 8ek7eruR, men ikke 19 til med samme (manglende) mønster. Dermed er tanken: Lær meg dette, og legg til en bokstav til avhengig av hvilken tjeneste det er til. Eksempelvis ville passordet mitt til Facebook da blitt 8ek7eruRf, for twitter 8ek7eruRt etc. Problemet er jo at noen kanskje ville klare å gjette strukturen, men det er jo bare å være kreativ på hvor den ekstra bokstaven settes inn. Eller?
Metode 2: Kombinasjoner av ord. Grunnen til at man skal unngå ord er jo at de fæle crackerene skal kjøre Dictionary attack og finne passordet. Men da tenker jeg som følger; banan er et dårlig passord, det samme er geit. Men hva med banangeit? Det finnes neppe i noen ordbok, men det er større sjangse for at jeg husker dette enn 8ek7eruR. Dermed er det en smart måte å lage seg passord på. Ta to urelaterte ord og sett dem sammen. Banangeit, suppelik, bloggkniv, you name it. Eventuelt kan man jo også legge inn ett tall; ape3pai (hørtes ut som noe mat) og klorin9fraggel er et par eksempler. Spørsmålet er jo om slike ordbokangrep tar hensyn til alle utenkelige kombinasjoner av ord? Noen som vet?
#1 Alexander Nossum: (20. August 2009, 08:35)
Helt klart en aktuell problemstilling!
Forsåvidt gode metoder – kanskje spesielt den siste.
Jeg tviler sterkt på at ordbokangrep tar automatisk hensyn til alle (u)tenkelige sammensetninger. Men, de tar nok ofte utgangspunkt i ord.
For min del synes jeg akronymer basert på setninger fungerer ganske bra i.e: “Atle ble ferdig med Mastergraden i 2009″ => “AbfmMi09″, “Lånekassen skal ha minst 4000 i kvartalet” => “Lshm4Kik”.
Da får passordet et “autistisk” preg, men gjør det mulig for alle oss andre å huske:)
Noen anbefalte en gang hele setninger som passord, altså å ha typisk et 40tegns passord. Vet ikke om det slo helt igjennom, tror det blir for mye å skrive..
#2 Audun Sæther: (21. August 2009, 22:33)
Jeg har en 4-5 passord som jeg husker i hodet (som er både lange og kompliserte), og som jeg bruker til ting jeg gjerne vil nå fra hvorsomhelst (Facebook, Twitter, e-post etc).
Resten (dvs alskens shell/sql-kontoer, forum, nettbutikker etc etc) har fått passord av typen totalt-random. Disse lagrer jeg med Revelation (GTK-passord-håndterer) som igjen krypterer og passordbeskytter passordfila.
Noen vil kanskje si at det er lite lurt å ha så mange passord i èn eller flere filer, men krypteringen er god og master-passordet er ett passord jeg KUN bruker der. I tillegg har jeg kun tilgang til den filen når jeg er hjemme. Så jeg føler meg igrunn mest sikker slik, fordi jeg kan ha totalt forskjellige og random passord på alle mulige nettsider/tjenester.
Det begynner å bli en del, og tanken på å bruke det samme passordet på “amatør-ett-eller-annet-forumet” og i nettbanken får meg til å grøsse…
#3 Atle: (25. August 2009, 18:39)
Akronym-metoden høres jo ikke så dum ut Alex, det får en si. Selv heller jeg vel litt mer mot “bruke for mange passord overalt”, men jeg har et skille mellom seriøse og ikke-seriøse sider, som du påpeker viktigheten av Audun.
Prøvde selv litt med en slik Wallet-funksjon, men synes det ble mye mas, og det døde litt ut. Ellers er jeg veldig fan av løsninger som gjør at man kan bruke samme konto overalt (type openID), men det er vel like usikkert som samme passord overalt.. Eller?
#4 Audun Sæther: (25. August 2009, 20:17)
Jeg ser ikke på det å bruke samme brukernavn/passord/konto på flere nettsteder som sikker uansett hvilken løsning som ligger bak, egentlig. Det betyr at man må stole 100% på at opplysningene er sikre hos alle tjenestene – og det bør man vel strengt talt aldri gjøre.
Det tok litt tid før jeg kom igang med Revelation, men nå klarer jeg meg ikke uten. Jeg har så mange passord at jeg ikke har sjangs til å huske alle, så jeg har blitt avhengig av et slikt program – ihvertfall når ett (eller et fåtall) passord ikke er et alternativ.
Om man skal et fåtall passord bør man ihvertfall være streng på at man ikke bruker samme passord i nettbanken som på nettbutikken til Club 4 eller hva nå enn man driver med
#5 kristin: (31. August 2009, 16:20)
UiO-passordlageren er helt sinnsyk (ref), så banangeit ville nok ikke gått inn der.
Min løsning er å lage delvis 1337-ord hvor noe er skrevet i store bokstaver. En stund hadde jeg for eksempel TOTT1ham. Lett å huske, og i tillegg legger jeg til “tjeneste-bokstaver” som hot eller face så ikke de aller enkleste robotene skal knekke dem.
#6 Atle: (31. August 2009, 17:51)
Hehe, god post Kristin! Når kravene blir så store til passord kan det nok virke mot sin hensikt, folk klarer ikke å lage et passord de husker, og skriver det dermed ned.
Ellers er 1337-speak en god løsning, og hvis man i tillegg legger det inn i det norske språk (som i eksempelet ditt, og f.eks “eple3″) er vel sjangsen for ordbok-angrep liten. Ellers nevnte jeg joi selv tjeneste-bokstaver, som jeg synes kan være et godt alternativ. men bunnlinja er uansett: passord er og blir noe mas!
#7 HC SVNT DRACONES » 2009 i bloggposter: (4. January 2010, 09:28)
[...] på hva jeg burde gjort som student, i lys av en guide fra Adressa. I tillegg skrev jeg en post om passord som avstedkom mange gode kommentarer og [...]