Forside   Profil    IT sikkerhed    Søgemaskineoptimering    Reference    Ressourcer

  

Midlertidige links: Ekspertise og vidensbank

BufferZone

Gode råd om valg af password

De fleste systemer i dag, hvad enten vi taler om deciderede netværkssystemer, eller forskellige dynamiske internetbaserede systemer basere deres sikkerhed på kombinationen af password og brugernavne. I nogle tilfælde vælges begge af brugeren, i andre tilfælde er det administratoren de vælger brugernavnet mens brugeren selv vælger passwordet og i nogle tilfælde genereres passwordet automatisk af systemet ig tilsendes brugeren.

Hvad enten det er brugeren, administratoren eller systemet der "vælger" passwordet, så er det af afgørende betydning for sikkerheden, hvordan dette password "ser ud", hvor mange tegn det indeholder, hvilke forskellige tegn og hvilken rækkefølge de er sat sammen i.

Før vi begynder at rådgive omkring valg af disse password er der nogle ting man bør forstå, for bedre at kunne følge rådene og forstå hvorfor det er vigtigt.

Sådan virker et password cracke værktøj

Som eksempel er det meget berømte værktøj L0phtCrack valgt, de det er et af det mest brugte. Værktøjet kan cracke Windows passwords enten ved at være installeret på den server der validerer brugere eller på en anden maskine i nettet der har adgang til password filerne eller den kan være installeret på en stand alone maskine og indlæse password filen f.eks. fra en diskette eller USB stick.

Det første man skal forstå er at en Windows maskine faktisk ikke indeholder passwords, den indeholder hashværdier fra passwords. En hash værdi er et matematisk tal der udregnes på baggrund af noget tekst. Du kan udregne hashværdier af et dokument der kun indeholder et punktum og af et dokument der indeholder hele biblen. når du indtaster dit password, f.eks. ordet bufferzone, bliver dette ord omsat til en hashværdi der gemmes. Når du næste gang forsøger at logge på med ordet bufferzone som password, vil det password du opgiver blive omegnet til en hashværdi der så sammenlignes med den der er gemt af systemet. Hvis de to hashværdier er ens, så slutter systemet at du har opgiver det rigtige password.

Når du starter L0phtCrack og indlæser en password fil (der jo blot er en liste med hashværdier) vil der være en del af de hashværdier den genkender med det samme. Det er alle de passwords der "normalt" bruges, det er f.eks. kendte naturlige taste kombinationer, almindeligt brugte tal, f.eks. 123456 eller 111111111 og det er ord der ofte bruges som passwords, f.eks. tintin, ykkykk (et lynlås mærke) eller tilsvarende. Alle disse passwords udskrives med det samme, værktøjet skal ikke bruge tid på at cracke dem, det sker lige så hurtigt som at starte programmet, lige herefter kontrolleres alle brugernavne da de også ofte anvendes som passwords.

Næste trin er directory cracking. her har man mulighed for at indlæse en eller flere ordbøger i værktøjer. Det er klart at ordbogen tilpasser til den organisation man cracker passwords hos. i Danmark ville man typisk vælge en ordbog der indeholder danske ord, danske og engelske børnenavne og evt. en branche specifik ordliste. Er det f.eks. et hospital, vil man også vælge en liste med medicinske betegnelser. L0phtCrack tager listens ord et af gangen, omsætter dem til en has værdig og sammenligner dem med password filens hashværdier. Dette lyder måske som en langsommelig proces, men det vil normalt ikke tage mere end godt 10 minutter at gennemføre, lidt afhængig af hvor stor ordlisten er. Alle de brugere der har valgt password, der findes i ordlisten, har altså fået deres password cracket på under 10 minutter.

Trin 3 er det der kandes hybrid cracking. Her tages ordene fra ordbogen og kombineres med typiske tal kombinationer. Det kunne f.eks. være 01bufferzone, bufferzone01 osv. Dette vil igen kunne tage op til en halv time og igen vil masser af passwords findes. Om et password brydes på 30 sekunder eller på 1 time er i princippet ligegyldigt, de fleste skifter hver tredie måned, så hvis et password ikke holder så længe er der faktisk ikke godt nok.

Sidste trind er Brute force cracking. L0phtCrack kan konfigureres til at holde sig under en bestemt password længde f.eks. optil 8 tegn og til f.eks. kun at forsøge med små og store bogstaver og tal (men ikke specialtegn). Grunden til at dette gøres er, at det tager længere tid jo længere passwordene er og det tager længere tid jo flere forskellige elementer (store og små bogstaver, tal og specialtegn) passwordene indeholder. Brute force er en langsommelig affære. Man skal dog være opmærksom på at Linux Clustre i dag er inden for rækkevidde af selv almindelige mennesker og der findes også andre metoder til at dele opgaven over nettet så flere maskiner arbejder sammen om at løse opgaven.

Vigtige overvejelser

Når et password vælges, skal man huske at tænke alle situationer igennem. Hvad nu hvis computeren fejler/dør og systemet køre i fejlsikker tilstand, eller jeg ikke kan få de rigtige drivere og dansk tastatur til at virke. Hvad hvis jeg skal logge på i udlandet osv. osv.

Man skal huske at Server operativ systemer faktisk altid er engelsksprogede, men engelske tastatur layout. Dette vil ofte betyde at danske specialtegn ikke er tilgængelige og at de andre specialtegn sidder anderledes. Hvis man så har sat et dansk tastatur på sin server, kan der være specialtegn, det næsten er umuligt at finde og man skal her huske at man ikke kan se hvilke tegn man skriver i et password.

Ligeledes vil danske specialtegn give problemer i forholdet til udenlandske maskiner med udlandske tastaturer. 

Disse forhold betyder af de passwords der vælges bør overholde følgende regler:

Regel nummer 1

"Et password skal kunne huskes"

Følgende bør undgås:

  1. Man må aldrig bruge brugernavnet eller dele heraf.

  2. Man må aldrig bruge sit eget fulde navn eller dele heraf.

  3. Man bør ikke bruge ord der kan står i en ordbog eller ordliste

  4. Man bør ikke bruge navne eller numre, der kan forbindes med brugeren, f.eks. tlf. numre fødselsdage og børnenavne

  5. Man må ikke bruge logiske tastkombinationer f.eks. qwerty

  6. Et password må aldrig skrives ned

  7. Man bør ikke bruge æ,ø og å

 

Følgende bør vælges

  1. passwordet bør være mindst 10 tegn langt men gerne 14.

  2. Et password bør indeholde små og store bogstaver samt tal og specialtegn

Da et password helst skal kunne huskes, er det væsentligt at man har et eller andet form system, der ikke er umiddelbart gennemskueligt for andre mennesker. En god metode er at lave sine passwords ud fra en rebus, hvor specialtegnene gives navne (dem der ikke har i forvejen) og så indgår i en sætning der er let at huske. Her er nogle eksempler:

Det kan være en god ide at lave sine passwords som en rebus, hvor man har givet specialtegnene navne, her er lidt eksempler:

”Peter bor i teltet ved de 2 røde Norske havelåger” = Pbitvd2rN#
”Andersine,  hendes 3 nevøer Rip, Rap og Rup og Fedtmule” = &h3nIAUoF
”hos Frederik og Frank finder du 2 hvide katte + Fido” = @FoFfd2hk+F
”dykkeren Svend fandt 15 gamle Russiske søminer på stranden” = dSf15gRT¤ps

Nye forhold omkring passwords og sikkerhed

De sidste par år er et projekt ved navn Rainbow Crack opstået og det har totalt ændret konditionerne vedr. password sikkerhed. Den korte beskrivelse går ud på at man har lavet en enorm database indeholdende alle kombinationsmuligheder for store og små bogstaver, tal og specialtegn fra 14 tegn og nedefter. Alle disse "ord" er herefter blevet omsat til hashværdier. Dette betyder at man ikke længere behøver at bruteforce og lave directory cracking, hvis man har en hashværdi, kan passwordet slås op i databasen på under 4 minutter, hvilket i praksis betyder at alle passwords på 14 tegn og nedefter kan findes på 4 minutter hvis man har hashværdien.

Rainbow Crack vil blive beskrevet mere detaljeret i en kommende artikel. Her skal kan man nøjes med at konstaterer at det ikke rokker ved at det er vigtigt at lave gode passwords. Det er også vigtigt at beskytte password filerne, men det har det i virkeligheden altid været.

Læs mere om IT sikkerhed her:

IT sikkerhed - Sådan sikre du din PC
IT sikkerhed - Sikkerhed i dybden
IT sikkerhed - Eksempel på Instruks for anvendelse af Internettet. Sikkerhedspolitik
IT sikkerhed - Baselining forudsætningen for meget
IT sikkerhed - Gode råd om valg af passwords
IT sikkerhed - Fysisk Sikkerhed
IT sikkerhed - IT sikkerhedscertificeringer
IT sikkerhed - IT sikkerhedsuddannelse
IT sikkerhed - Firewall regler
IT sikkerhed - Firewall typer
IT sikkerhed - Sårbarhedsanalyse
IT sikkerhed med VMWare
IT sikkerhed - Netværksudstyr forklaret
IT sikkerhed - Pressehåndtering

Læs mere om Trådløs IT sikkerhed her:

IT sikkerhed - Trådløs sikkerhed
IT sikkerhed - Brug Trådløse Hotspots sikkert

Læs mere om Computer Forensics her

Computer Forensics - Den Grundlæggende del
Arbejd med Windows Registreringsdatabase

Læs også disse serier

Søgemaskineoptimering
Søgemaskinepositionering
Søgemaskinemarkedsføring
Webpromotion
IT sikkerhed
Hacking
Google
SEO Blackhat Techniques
Kontakt Os

Bufferzone.DK
C.F:Richsvej 90
2000 Frederiksberg
Denmark

e-mail
info@bufferzone.dk


Zones

- GraficZone
- ScriptZone
- LinkZone
- BannerZone










FocusZones

- webpromotion
- søgemaskineoptimering
- søgemaskinepositionering Søgemaskinemarkedsføring
- IT sikkerhed
- SEO
- Hacking
- Google

Copyright 2006 BufferZone.dk. All Rights Reserved.
Legal Stuff, BufferZone dedication, Testimonials, Privacy Policy.



 
valg af password valg af password valg af password valg af password valg af password