Artikel top billede

(Foto: Computerworld)

Kodeord for alle pengene

Menneskelig dovenskab, godtroenhed, generelle svigt og en endeløs undergravning af systemer har undermineret kodeord. Tiden er inde til at fremtidssikre din sikkerhed og gemme alle dine kodeord.

Af Torben Okholm, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

I ethvert system finder mennesker udvej til at omgå reglerne. Det kan skyldes dovenskab eller magelighed, og det kan derfor ikke komme som nogen overraskelse, at de fleste mennesker vælger den nemme udvej, når det gælder kodeordssikkerhed.

Det er imidlertid for nemt blot at sige, at folk er dovne, og at det er forklaringen på dårlig kodeordssikkerhed. Der er altid nogle, der forsøger at hacke andres kodeord, og en del mennesker er ikke ret gode til at lære deres kodeord udenad. Nu om dage er det ikke nok blot at bruge et stækt kodeord. Vi lever i en verden, hvor store dele af vores liv er knyttet til vores onlinetilværelse, og hackerne gør mere og mere for at bryde ind i vores onlinekonti.

Derfor vil vi nu se på temaet kodeordssikkerhed. Vi skal gennemgå sikkerheden for onlinekonti og valget af bedre kodeord. Vi viser dig, hvordan vi kan gøre livet lettere og samtidig sikrere. Vi lærer dig at forbedre beskyttelsen med andet end kodeord, og du skal se, hvordan hackere angriber og bruger dine kontooplysninger.

Nogle af disse råd har du sikkert hørt før, men forhåbentlig er andre af dem nye for dig. Når du er nået til vejs ende, er du sandsynligvis blevet så skræmt, at du overvinder dovenskaben og sætter dig for at beskytte dine kodeord.

Lad os begynde med at skræmme dig fra vid og sans. Der er lavet megen forskning i kodeordssikkerhed på baggrund af det enorme antal brud på datasikkerhed, der har fundet sted i de seneste år. En af de mest omfattende undersøgelser er en rapport fra Google i 2017 med titlen “Data breaches, phishing, or malware? Understanding the risks of stolen credentials” paper (https://research.google.com/pubs/pub46437.html).

En af perlerne i denne rapport består i, at forskerne fandt 1,9 milliard ikke-unikke kontobrugernavne og kodeordsoplysninger. De stammede fra forskellige kilder, men de fleste var fra blackhat-sikkerhedsfora. Hele 76 procent af dem kunne nemt konverteres til rå tekst (eller også var de allerede blevet det). Det minder os om, at det klogeste er at salte oplysningerne via en hash-algoritme. Forskerne var i stand til at udpakke hele 36 procent af hashede kodeord ved hjælp af et kodeordsangreb.

Ud af de kodeord, der var blevet stjålet via phishing-angreb, stammede 49 procent fra amerikanere. Når det gjaldt rene sikkerhedslækager, var 39 procent af oplysningerne knyttet til amerikanere. Når det gjaldt oplysninger, der var stjålet via keyloggere, var amerikanere målet i 8 procent af tilfældene, mens Brasilien tegnede sig for det højeste tal med 18 procent.

Læk af oplysninger finder hyppigt sted nu om dage. Det hidtil største tilfælde er stadig den oprindelig hemmeligholdte Yahoo-læk fra 2013. Her blev stort set hver eneste Yahoo-konto lækket: Tallet var 3 milliarder. Adult Friend Finder var oppe på 412 millioner, mens Equifax-bruddet i 2017 ramte 143 millioner amerikanere. MySpace, Adobe, LinkedIn, Dropbox, LastFM, NexusMods og mange andre har alle været ude for lækager, og hver læk frigav detaljer om millioner af brugere.

Disse lækager illustrerer det grundlæggende problem ved genbrug af kodeord: Hvis man bruger det samme kodeord til alle sine onlinekonti, kræver det kun en enkelt læk, og så er alle ens konti ramt.

En velintegreret mobil-app klarer online-konti og lokale app-logins.

Må videnskaben redde os!

Det næste spørgsmål er så: Hvad er hemmeligheden bag et sikkert kodeord? Svaret er entropi. Det vil sige graden af vilkårlighed i et system. Og med vilkårlighed mener vi ægte vilkårlighed. Det er ikke nok at have et langt kodeord; det skal være langt og ægte vilkårligt. Vi er faldet over en herlig analyse af dårlige kodeord fra WPEngine.

Den viser blandt meget andet, at kode-ordsoprettelse er en helt kønsneutral idræt. Mænd og kvinder er ligestillede i en verden af rædsomme kodeord. Analysen er nyttig læsning, og den er både sjov og interessant. Den kaster lys over mange generelle menneskelige svagheder, når det drejer sig om at lave kodeord.
De indlysende eksempler er de sædvanlige dårlige kodeord: “123456” og variationer heraf, “kodeord”, “qwerty” og så videre. Det er indlysende. Et andet element består i, at mange anvisninger på kodeord er dårlige.

De tvinger for eksempel brugerne til at bruge både store og små bogstaver, hvilket gør, at de fleste er tilbøjelige til blot at skrive det første bogstav med stort. Et andet eksempel er kravet om at kodeordet skal indeholde tal: Folk sætter blot et “1” til sidst. Og så er der kravet om en bestemt længde. Det er også uheldigt, fordi folk følger et bestemt mønster på tastaturet. For eksempel ser “ADGJMPTW” vældig vilkårligt ud, men det er faktisk blot resultatet af at skrive 2-9 på en smartphones nummertastatur. Sådan foregår det, og det fører ikke til stærke kodeord. De er alt for nemme at gætte.

Google Chrome kan håndtere og synkronisere kodeord på dine enheder.

Det hænger sammen med menneskers væsen. En gruppe vil beskytte et system, en anden ønsker sig et nemt liv, og en tredje gruppe prøver at bryde ind. Hvordan skal vi da lave stærke kodeord?

For få år siden skrev Dropbox-ingeniøren Dan Wheeler en blogpost, der henviste til Randall Munroes klassiske XKCD-tegneserie om kodeordsentropi (det er den med kodeordet correcthorsebatterystaple). Wheeler kommer også ind på Mark Burnetts forskning. Dans tekst er lang og kompleks, og den fokuserer på det, der gør et kodeord stærkt (med høj entropi), og på, hvordan man nemt kan måle det og kommunikere det til brugeren. Randalls pointe er blandt andet kodeordsstyrke, men han understreger i høj grad behovet for at gøre kodeordssystemer menneskevenlige.

Uden at gå for meget i detaljer kan vi konstatere, at et godt kodeord er et langt kodeord. XKCD-metoden består i at bruge en række ord eller vendinger, der er til at huske, og som ofte fremmaner et særpræget billede – for eksempel det klassiske “correct horse battery staple”. Det kan også være en vending såsom “basketball on a unicycle flying high.” Hvis man supplerer med nogle tal og symboler, bliver kodeordet endnu stærkere.

Der er dog intet af dette, som håndterer det centrale problem, nemlig at vi nu har en mere eller mindre endeløs række af onlinetjenester, der hver kræver specielle kodeord og login. Selv hvis man vælger kodeord, der er nemme at huske, ændrer det ikke ved, at det kniber med at huske dem alle. Løsningen på det problem er en kodeordsmanager.

De fleste kodeordsmanagere fungerer via en browser-plugin, for det er der, vi kommer.

Red os, Microsoft!

Det er oplagt at begynde med at spørge, hvilke redskaber Microsoft leverer i Windows 10. Det blaserte svar er: ingen. Windows rummer ikke noget specifikt værktøj til kodeordshåndtering. Til gengæld har Microsoft indbygget en basal kodeordsmanager i browseren Edge. Den giver mulighed for at synkronisere gemte kodeord på tværs af ens Windows-konti og med de Edge-udgaver, man har kørende – Edge på Android, for eksempel.

Men hvad nu, hvis man ikke er på sin Windows-konto? Hvad nu, hvis man slet ikke er på Windows? Hvad nu, hvis man bruger Chrome eller Firefox? Hvad gør man, hvis man vil oprette et stærkt kodeord, eller hvis et site stiller krav om oplysninger, der ikke er standard? Edges kodeordsmanager er meget basal og hjælper kun i de mest enkle situationer.

Alternative managere

Vi præsenterer tre andre kodeordsmanagere – dem, man hyppigst støder på, og som generelt tilbyder de samme funktioner til den samme pris. Valget må afhænge af, hvad der passer bedst til dig. Den første er 1Password.com. Priserne begynder ved 2,99 dollars om måneden for en enkeltbruger, og en familiekonto til fire personer står i 4,99 dollars. DashLane tilbyder en række planer, der vil passe til et bredt udvalg af firmaer og privatpersoner. Grundplanen er gratis for enhver, men den er begrænset til brug på en enkelt enhed.

Betalingsudgaven til hjemmebrug koster 3,33 dollars om måneden, og den understøtter et ubegrænset antal brugere. Den omfatter kodeordsdeling og Yubikey TFA-support. En forretningsplan begynder ved 4 dollars pr. bruger og omfatter blandt andet fjernstyring, gruppedeling af kodeord og udvidede TFA-funktioner. Vores sidste forslag er Keepersecurity.com.

Dens struktur minder om DashLane, men her skal man betale for et årligt abonnement. Den grundlæggende enkeltbruger-pakke koster 29,99 dollars, hvilket vil sige 2,50 dollars om måneden. Det beløb dækker et ubegrænset antal enheder med synkronisering, ubegrænset kodeordslager, sikker cloud-backup, fingeraftrykadgang og webadgang med support. En familiepakke koster 59,99 for fem brugere. Der findes naturligvis langt flere kodeordsmanagere. Man kan finde en nogenlunde uafhængig liste på Wikipedia.

Red os, Browsere!

Hvad med en browser, som man faktisk gerne vil bruge? Den mest udbredte browser i dag er Google Chrome, og den omfatter en udmærket kodeordsmanager. Hvis man er logget ind med sin Google-konto, synkroniserer den kodeord på tværs af alle ens enheder og operativsystemer (Windows, MacOS, Linux, Chrome OS), og den kan naturligvis også fås til enheder, der kører Android og iOS. Google tilbyder også en onlinetjeneste på http://passwords.google.com, der gør det muligt at logge ind og få adgang til kodeord fra enhver browser eller enhed.

Bortset fra kodeord understøtter Chrome også intelligent udfyldning af formularer. Man kan skrive adresse, telefonnummer og e-mailadresse, og hvis Chrome mener at kunne levere disse oplysninger, tilbyder den at prøve at autoudfylde hele formularer eller individuelle elementer. Den har desuden en funktion til sikker lagring af betalingskortoplysninger, hvis du altså synes, at det er en god ide, at Google har disse oplysninger ...

Chromes enkle, men udmærkede kodeordsmanager betyder, at så længe man er logget på sin Google-konto, kan man med et højreklik i et kodeordsfelt få oprettet et sikkert kodeord. Der er ingen valgmuligheder; der bliver blot leveret et vilkårligt kodeord med en passende længde. Derefter gemmer og styrer manageren login og kodeord for brugeren. Man kan oprette undtagelser og styre de gemte kodeord fra sektionen “Avanceret”. Adgangen til disse sager er beskyttet via en opfordring til at skrive ens Windows-kodeord.

Den anden større browser, der er værd at nævne, er Mozilla Firefox, selvom den ikke leverer meget mere funktionalitet end Microsoft Edge. Den synkroniserer ens kodeord over sin egen Firefox-konto til alle understøttede operativsystemer eller enheder. Den understøtter ikke formularer og genererer ikke kodeord, men den leverer et uafhængigt masterkodeord, der kan beskytte adgangen.

Red os, LastPass!

Browsere er altså ikke til megen hjælp, når det gælder reel kodeordshåndtering. Man kan klare sig med Google Chrome, men vi kan gøre det bedre. Her koncentrerer vi os om LastPass, men du kan læse om alternative løsninger i artiklens tekstbokse. LastPass er afgjort et af de bedste valg, når man skal vælge kodeordsmanager. Den gratis konto leverer hovedparten af de funktioner, som folk har brug for, mens betalingsversionen blot koster 2 dollars om måneden.
LastPass fungerer med flere enheder, operativsystemer og browsere.

Den virker som browser-plugin for de fem store: Chrome, Firefox, Safari, Edge/Internet Explorer og Opera. Den kører på alle de vigtige desktop-styresystemer: Windows, macOS, Linux og OpenBSD. Og til mobile enheder er der support af Android, iOS og Windows Phone. Man kan desuden logge på med LastPass via enhver browser.

Navnet LastPass udspringer af det faktum, at dit LastPass-kodeord bliver det sidste kodeord, du skal huske. Resten klarer LastPass. Og hvad gør den så? Den vigtigste funktion sker via en browser-plugin og apps på dine mobile enheder. Når du opretter nye konti eller logger på eksisterende konti, gemmer LastPass dine brugernavne og kodeord eller tilbyder at generere nye kodeord i takt med, at der bliver oprettet nye konti.

Engangs-adgangskoder giver nødadgang, hvis du mister din TF-enhed.

LastPass- kodeordsgenerator er vældig fiks. Man kan vælge enhver længde op til 100 tegn, vælge frit mellem store og små bogstaver, vælge mængden af tal, der bliver brugt, og beslutte, om der skal bruges symboler. Der er også avancerede funktioner, der forhindrer flertydighed, og som kan gøre et kodeord nemt at udtale.

Man kan gruppere konti og søge i dem. Man kan tilføje notater og vælge automatiske logins, hvis man vil fyre op under sine konti. LastPass understøtter også automatisk udfyldning af standardformularer: navne, adresser, e-mail, telefonnumre, bankkonti, kontokort og skræddersyede felter. Der er også et krypteret notatværktøj.

Det kan levere advarsler mod usikre formularer plus et sikkerhedstjek af eksisterende konti, som man måtte importere fra sin browser. To-faktor-verifikation er også understøttet (det vender vi tilbage til). Betalingstjenesten udvider kodeordsudfyldning til andre applikationer på både Android og Windows – LastPass kan udfylde et programs kodeord og felter. Det er nyttigt nu om dage, hvor stadig flere programmer kræver en form for login til abonnementer.

Steam har leveret sekundær verifikation i mange år.

Efter installationen er det en god ide at se på “Preferences.” Vi kan godt lide at tilføje et logout-tidspunkt, således at hvis man forlader pc’en, logger den sig selv ud efter for eksempel en time.

LastPass er ikke den eneste kodeordsmanager, der tilbyder alle disse funktioner, men den giver en forestilling om de funktioner, den forbedrede sikkerhed og den brugervenlighed, som en specialiseret tjeneste omfatter.

Men med større kraft kommer der også større ansvar. En tjeneste som LastPass kræver, at man bruger et stærkt masterkodeord. Hvis det bliver hacket, kan angriberen få adgang til alle de tjenester, du bruger. Og hvis du glemmer dit kodeord, kan LastPass ikke gendanne det. Det er et bevidst sikkerhedshensyn. Det kan lyde, som om man lægger alle sine æg i én kurv, men hvad foretrækker du – en individuel kurv til hvert æg eller blot én vanvittig sikker kurv?

Selv virksomheder, der er opmærksomme på sikkerheden, kan blive hacket og få problemer (https://en.wikipedia.org/wiki/LastPass#Security_issues). LastPass har været ude for at få en række sårbarheder udstillet, og man oplevede endda et vellykket hackerangreb på foretagendets servere i 2016. Men LastPass tager med tak imod meldinger om programfejl, og firmaet er åbent, når det gælder angreb, samtidig med at man bruger best practice på sine sikkerhedslagre. Derfor er brugerens egne kodeord forblevet sikre på trods af angrebet i 2016.

Open source

Vi kan godt lide open source. Den leverer ikke altid den mest polerede software, men til sikkerhedssoftware er dens offentligt tilgængelige kode god til at skaffe sjælefred, samtidig med at der er rimelig sikkerhed for, at projektet kan fortsætte, selv hvis den oprindelige organisation eller udvikler lukker og slukker, idet kildekoden forbliver åben og kan fortsætte i andre hænder.

Vi vil fremhæve to stærke open source-kandidater. Den første er den velkendte KeePass.info. Den må ikke forveksles med den mere eller mindre uddøde KeePassX.org, der ikke er blevet opdateret i to år. Der er en forgrening ved navn KeePassXC.org, som er opdateret, men vi holder os til KeePass, fordi den har mange uofficielle aflæggere til Android og andre enheder, som gør den nemmere at bruge. KeePass er ikke så enkel at bruge som de kommercielle alternativer. Den største hurdle knytter sig til synkronisering mellem flere enheder.

Her skal man have fat i en tredjeparts-cloudtjeneste såsom Dropbox eller Google Drive. Men graden af support, valgmuligheder og funktioner er der ingen, der overgår – og det hele er gratis. Den anden stærke open source-mulighed er Bitwarden. Den omfatter en fremragende gratis model, et familieabonnement til 1 dollar om måneden for fem brugere, og en forretningsversion til 5 dollars om måneden plus professionelle løsninger. Det er en moderne og elegant open source-applikation, der understøtter macOS, Windows, Linux, alle de større browsere – herunder Opera, Tor og Brave – plus Android- og iOS-enheder. Hvis du er fan af open source, vil vi anbefale at give den en chance.

To-faktor-verifikation

For nogen tid siden begyndte sikkerhedseksperter at stille spørgsmålet: Findes der noget bedre end kodeord? Du vil ikke bryde dig om svaret, men det er usandsynligt, at vi nogensinde slipper helt for kodeord. To-faktor-verifikation giver dog et vist frirum. Princippet er, at folk kræver to former for identifikation, altså verifikation. Den første er typisk et stærkt kodeord (noget, du kender), og den anden kan være dit fingeraftryk, dit smukke ansigt eller en genereret engangskode (noget, du har).

Som du måske har bemærket, bruger mange telefoner i dag fingeraftryk og ansigtsscanning til at verificere adgangen. Pengeinstitutter lever fornøjet med, at NFC-udstyrede telefoner kan verificere kontokort-transaktioner. Nogle systemer (LastPass, VeraCrypt) accepterer usb-drev og specielle usb-nøgler (Yubikey) som den anden form for verifikation.

Steam er et godt eksempel på en tjeneste, der hurtigt leverede to-faktor-verifikation. Du kender sikkert dets e-mailverifikation, der sender en kode til din standard-e-mailadresse. Og for nylig indførte Valve sin Steam Authenticator-app, der er påkrævet, hvis man beskæftiger sig med dets produkter.

Verificér med Google

Vi vil fremhæve Google Autentificering som et godt TFA-redskab. Installer det på din telefon, og fyr op under den tjeneste, du vil beskytte med TFA. LastPass bruger Google Autentificering (blandt andre) til formålet. Gå til “LastPass Vault > Account Settings > Multifactor options”. Klik på “Edit”-knappen og vælg “Enable”. Brug funktionen “Barcode” til at få vist en QR-kode. På din telefon åbner du Google Autentificering, trykker “+” og klikker “Scan barcode”, hvorefter du lader din telefon pege på QR-koden på skærmen.

Nu er LastPass blevet føjet til Google Autentificering. Når nogle prøver at få adgang til din LastPass Vault fra en ny enhed, skal de skrive den aktuelle kode (den bliver opdateret med 30 sekunders mellemrum), før de kan få adgang. Man kan vælge at give adgang i 30 dage, før endnu en TFA-prompt kommer frem på enheden, og det er ikke for irriterende. Uden telefonen er der ingen adgang. TFA er glimrende, men der er et par forbehold. For det første må den tjeneste, der bruger den, ikke være dum som en dør.

Det har vist sig, at nogle tjenester kunne gå udenom TFA ved simpelthen at ringe op og levere noget basal personlig information, hvilket gjorde brugen af TFA til mere sikkerhedsteater end egentlig sikkerhed. For det andet er TFA-koden potentielt låst til den ene telefon. Teknisk set kan en Android-enhed gøre det muligt at overføre Google Autentificering-hemmeligheder, men hvis du får en ny telefon, skal du huske at frakoble TFA på dine tjenester, før du sletter den gamle. Ellers risikerer du at blive lukket ude af vitale tjenester.

LastPass holder QR-koden hemmelig, således at du kan have den på flere enheder og senere overføre den – så længe du kan logge ind. På grund af kryptograferingsmatematikkens magiske natur tilbyder mange tjenester også mulighed for offlineadgang, som regel via en bank af engangskoder, som man kan printe ud eller skrive ned og anbringe et sikkert sted. Det betyder, at hvis telefonen bliver stjålet eller går i stykker, kan man stadig få adgang til sine konti.