Fremtidens passwords

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Efterhånden har de fleste fundet ud af, at passwords som 1234, abcd eller for den sags skyld 1234abcd ikke er verdens stærkeste kodeord. Knapt så bevidste er mange brugere dog ikke om, at i takt med, at hackere og andre it-kriminelle har mulighed for at få kraftigere maskiner til rådighed, bliver det tilsvarende lettere at knække kodeord, uanset hvor snedigt og specielt, de er udformet. Men hvordan tegner fremtiden sig for kodeord i det hele taget?

Ivan Bjerre Damgård, der er professor på Institut for Datalogi ved Aarhus Universitet, mener, at vi kommer til at leve med passwords i mange år endnu. ”Jeg tror ikke, vi slipper for passwords lige med det samme,” vurderer han. ”For nok har passwords som sådan nogle iboende svagheder, men de har dog også flere praktiske fordele, der gør dem svære at erstatte. Bl.a. er de uafhængige af den enhed, du logger på fra og kræver hverken speciel software eller hardware i form af fingeraftryksaflæsere eller lignende.

Desuden er de nemme at udskifte og forny, og så har passwords den for hackere temmelig kedelige egenskab, at hver gang du blot gør dit password én karakter (dvs. et tal, et tegn eller et bogstav) længere, bliver antallet af muligheder mindst 36 gange større, og bare to karakterer oveni betyder, at en hacker skal arbejde mere end 1000 gange så hårdt,” pointerer Ivan Damgård.

Hvis du yderligere benytter dig af understregninger mv. kan det hurtigt resultere i så mange kombinationsmuligheder, at en hacker virkelig vil få sin sag for. Derfor behøver et godt password reelt ikke at være helt så langt, som du kunne tro. Men der er selvfølgelig en praktisk grænse, da du selvsagt ikke uhæmmet kan blive ved med at forlænge passwords og indføre specialtegn mv., om ikke af andre grunde, så af den grund, at de derved bliver sværere og sværere at huske. Mange sites og platforme, der bruger kodeordssystemer kan heller ikke håndtere kodeord, der er over 10 karakterer lange.

Ordet er en sætning

I stedet vurderer Ivan Bjerre Damgård, at ”passphrases”, altså passwords bestående af hele sætninger, vil vinde frem. Vi mennesker kan nemlig sagtens huske lange sætninger, der ikke umiddelbart er lette at gætte for andre, så længe de bare giver en forståelig mening. Det giver mulighed for at have en langt større mængde af kombinationsmuligheder, hvilket gør pass-phrases sværere at knække for hackere, der blot anvender ”brute force” og bare bruger en kraftig og hurtig computer til at bide sig igennem alle mulige kombinationer fra en ende af.

”Derfor vinder selv umiddelbart simple, men let ”twistede” og dermed let huskelige passphrases som eksempelvis ”Sikke en nat vi har haft nu i dag” let over enkelte sammensatte passwords, der hvis de virkeligt skal være effektive, let bliver så komplicerede, at de er umulige at huske. Blot skal du selvfølgelig ikke falde for fristelsen og bare bruge en kendt sangtitel eller lignende direkte (”Sikke en fest, vi har haft nu i nat”), for det vil en hacker næppe have store problemer med at pejle sig ind på.

Brug af passphrases kræver dog en ændring af mange systemer, som i dag kun er gearet til at have korte passwords.” Men det vil være nødvendigt, for det er en nødvendig udvikling, mener professor Ivan Damgård.

Men han peger også på, at i jo større omfang sådanne passphrases blot indeholder og består af almindelige ord, er informationsmængden heller ikke videre stor, og det er ikke urealistisk at forestille sig, at en rutineret hacker har udstyret sig med et cracker-program, der har varianter af stort set alle sætninger i bøger (f.eks. Google books) og andre digitale biblioteker. Almindelige gængse sætninger og/eller citater som eksempelvis ”Der var så dejligt ude på landet” eller ”May the force be with you” er bestemt ikke umulige at hacke sig ind på.

Så skal passphrases derfor fungere efter hensigten, skal de indeholde meget mere information, og her kniber det igen for den menneskelige hukommelse at følge med. Det er let at se, at de to nævnte sætninger ikke indeholder så mange oplysninger som ”Der var én, der var to, der var tre, der var fire eller flere små piloter fra første verdenskrig”. Sætningen er nem at huske, men indeholder samtidig så mange oplysninger, at en hacker hurtigt vil flå alle ledninger ud af desperation.

”I praksis er mennesker dog desværre ikke gode til at huske så meget information, som det er nødvendigt at huske præcist til dette formål,” erkender Ivan Bjerre Damgård. Men ofte er det faktisk også mest virkningsfuldt at bruge et forestillingsbillede som passphrase. Professor Damgård minder her om, at det er velkendt blandt folk, der beskæftiger sig med husketeknikker, at jo skørere et forestillingsbillede er, jo nemmere er det også at huske.

Hvis du ønsker, at din passphrase skal handle om en bestemt genstand, så forestil dig eksempelvis en lyserød elefant, der sidder på en taburet med den ting i snablen du skal huske, foreslår Ivan Damgård, og byg din sætning op omkring det. Det vil give en passphrase, der er grammatisk korrekt, men fuldstændig tosset og blottet for indholdsmæssig mening.

Indtil systemerne kan håndtere flere karakterer, giver Ivan Damgård endvidere det fif, at du forener det bedste fra begge verdener ved at lave en tosset sætning og så konstruere et password ud fra den ved at tage første bogstav i hvert ord og lægge et par specialtegn til.

Professor med speciale i datasikkerhed

Hvis du springer over password-gærdet, hvor det er lavest, beder du selv om problemer!

Ivan Damgård er professor i teoretisk datalogi ved Aarhus Universitet og beskæftiger sig bl.a. med ”kunsten at kommunikere sikkert over usikre kanaler”. ”I vort moderne internetbaserede samfund er det nødvendigt at håndtere enorme mængder af information digitalt,” forklarer han, ”og min forskning handler om at finde metoder, så vi kan gøre det på sikker vis, så data ikke bliver manipuleret eller bliver kendt af de forkerte per-soner.”

Siden 2003 har han været leder af Foundations in Cryptography and Security (FICS), som han tillige har været medstifter af, og som støttes af Statens Naturvidenskabelige Forskningsråd, og fra 2004 har Ivan Damgård været partner i ECRYPT, der er et EU-støttet forskningsnetværk.

Dobbeltsikring eller ”2-factor authentication”

En anden metode til at redde sig bedre sikkerhed mod moderne hackeres stadigt bedre udstyr, er at supplere dit password med noget andet, så du får det, der hedder ”2-factor authentication”. Et godt eksempel på sådan en form for kodesikkerhed er vores allesammens NemID med nøglekort, hvor nøglekortet er sikkerhedsfaktoren nummer to.

[irp]

Andre lignende systemer som eksempelvis en lille tilfældighedsgenerator, der i forbindelse med din computer laver tilfældige éngangskoder, som du skal taste ind som ”svar” på dit almindelige password, vil også kunne forøge sikkerheden betragteligt. Problemet her er blot, at det i modsætning til, hvad de fleste forestiller sig, faktisk er svært at bede en computer om at fabrikere 100 % ”tilfældige” kombinationer.

Et password i tegnebogen er bedre end ti i hukommelse

Allerede i 2005 foreslog Bruce Schneier, der dengang var teknologiansvarlig hos IBM, at man blot skrev sit password ned på papir og gemte det i tegnebogen sammen med andre stykker papir af betydning. Denne særdeles lavpraktiske løsning er for så vidt også ret sikker, indtil nogen skaffer fysisk adgang til din tegnebog eller opsnapper passwordet inde i din computer gennem sædvanlig it-kriminalitet.

”Det kan eksempelvis ske ved phishing, der er og vil vedblive at være et stort problem, nævner Ivan Damgård, der dog samtidig understreger, at netop phishing-angreb kan du relativt nemt imødegå og begrænse ved netop at udvise almindelig forsigtighed og omtanke. Men han slutter også:  ”Vi kan som sikkerhedsspecialister ikke gøre meget andet end at prøve at opdrage brugerne til at bruge sund skepsis, når som helst de anvender deres passwords eller passphrases.”

[irp]