Passord har vært brukt siden tidenes morgen for å sørge for autentisering av personer og informasjon. Idéen om at hemmelig informasjon kan brukes for å begrense tilgang er like gammel som den er god.

Problemet er at det ikke er like åpenbart for alle, at ‘hemmelig’ er nøkkelordet. Brukere er mer opptatt av sin egen bedagelighet enn av sikkerhet, og velger ofte, om de gis muligheten, trivielle passord eller skriver passord ned i klartekst.

Systemadministratorer er gjerne frustrerte over brukeres slette omgang med passord og innfører stadig strengere krav som fører til at enda flere brukere skriver ned passordet sitt på en post-it som de klistrer på skjermen.

Jeg har forståelse for at brukere gjør dette. De vet rett og slett ikke bedre. De kunne visst bedre, om de hadde tatt seg tid til å lære seg noen enkle regler, men å forvente at brukere skal ha egeninteresse av å investere sin tid i å gjøre ting lettere og sikrere på sikt har jeg sluttet med for lenge siden.

Så, hvis brukere trenger å skrive ned noe for å huske det, hvorfor ikke la dem gjøre det? Hadde det ikke vært bra med en løsning der brukere _både_ kan skrive ned huskelapper og samtidig lager sikre passord?

For å demonstrere, min forrige ‘gule lapp’ var ordet ‘tradisjonell’ og nå er det ‘opplevelser’. Det er alt jeg trenger for å få tilgang til alle servere jeg administrerer, en 50-60 stykker, all hypersensitiv informasjon fra og for kunder, samt min egen maskin. Nå har jeg riktignok ingen gul lapp fordi jeg har laget meg rutiner på hvordan jeg skal huske likevel, men poenget bør likevel være klart.

Før du nå begynner å ‘hacke’ på maskinene mine, den informasjonen alene gir deg selvfølgelig ingen verdens ting. La meg forklare:

Obfuskering er en teknikk som kan hjelpe folk til å huske sensitiv informasjon. Obfuskering baserer seg på å ta en kjent informasjon og obfuskere, eller gjøre vanskelig å kjenne igjen, informasjonen. Obfuskering kan for eksempel bety at du har et fast sett med regler som du bruker for å manipulere informasjonen til det ugjenkjennelige.

Informasjonen i dette tilfellet er et nøkkelord som du velger, og gjerne skriver ned, som danner grunnlaget for passordet ditt. Deretter tar du et sett med regler og manipulerer nøkkelordet, altså obfuskerer det.

Disse reglene må du lage selv. Et eksempel kan være at du har en sønn som heter Erik, som er født i 1986. Du kan da ta alle forekomster av bokstaven ‘e’ i nøkkelordet og bytter med 86. Det kan være at din første bil var en Opel Ascona 78, og derfor bytter du bokstaven O med Asc78.

Si at du da har valgt nøkkeloverdet opplevelser, slik jeg har nå. Bruk da reglene som over til å manipulerer ordet ‘opplevelser’ til passordet ‘Asc78ppl86v86ls86r’. Skriv ned nøkkelordet på en post-it, klistre på skjermen, og du har en relativt lett måte å finne passord utfra ditt hemmelige sett med regler og nøkkelordet.

Valg av regler blir da relativt viktig, men det finnes også tips der. Her er noen tips og eksempler på regler som kanskje kan gi inspirasjon:

– Bytt alle doble konsonanter med enkle konsonanter etterfulgt av bokstaven d
Eksempel: alle blir til alde
– Bruk ikke-alfanumeriske tegn, altså tegn som ikke er a-å eller tall som del av regelen.
For eksempel: 3 byttes med ## (shift-3) og alle blir da all##
OBS! Husk at utenlandske tastatur ikke nødvendigvis har de samme ikke-alfanumeriske tegn på de samme tastene. For eksempel har norske tegn alfa-krøll på ALTGR+2, mens amerikanere bruker SHIFT-2
– Bruk utskiftingsregler på bokstaver som ofte er brukt i nøkkelord. Regler for å bytte z med noe annet er kanskje ganske håpløst, siden z så sjelden brukes i norske ord. r, s, t og n er bra tips, og selvfølgelg vokaler.
– Varier om alle eller for eksempel bare første forekomst av et ord skal byttes. Hvis bare første forekomst av bokstaven l skal byttes med 1, blir ‘alle’ til ‘a1le’
– Bruk nøkkelord av en viss lengde og velg utskiftingsregler som gir _flere_ tegn enn du bytter ut. For eksempel kan du bytte ‘a’ med ‘&&22′
– Benytt regler i bestemt rekkefølge. Bruker du alle reglene som står i tipsene og eksemplene her blir nøkkelordet ‘alle’ til ‘alde’ til ‘ald##’ til ‘a1d##’ til ‘&&221d##’ som er vesentlig sikrere.

Videre hender det at man har behov for å generere mange passord. I mitt eksempel har jeg unike passord på alle servere jeg administrerer. Igjen finnes det måter å lage sikre, unike passord som er lette å huske. Måten dette gjøres på er å ta et felles nøkkelord, for eksempel ‘johan’ og kombinere med sted-spesifikk informasjon, for eksempel navn på kunde eller domenenavn. Kombiner denne informasjonen for å få unikt nøkkelord og bruk obfuskering som over.

Har du en kunde som heter ‘Firma AS’ kan du altså lage nøkkelordet ‘Johan-FirmaAS’ og obfuskere dette med dine unike obfuskeringsregler. Skal du huske passordet ditt på ebay.com kan du bruke ‘Johan-ebay.com’ som nøkkelord. Skal du være virkelig avansert har du også regler for å obfuskere domenenavnet, for eksempel ved å snu rekkefølgen på bokstavene (‘Johan-moc.yabe’) eller bytte første og tredje bokstav (‘Johan-abey.com’) før du obfuskerer.

Hvilke regler du velger, hvor mange du trenger, om du trenger unike passord over alt, dette er opp til deg og ditt behov. Hvor sikker må du egentlig være for å logge på til dine personlige innstillinger på tv-programmet på dagbladet.no? Det viktige er dog dette:

– Hemmelig er fortsatt viktig. Pass på reglene dine og oppgi dem aldri uansett!

Found this article valuable? Want to show your appreciation? Here are some options:

a) Click on the banners anywhere on the site to visit my blog's sponsors. They are all hand-picked and are selected based on providing great products and services to the SharePoint community.

b) Donate Bitcoins! I love Bitcoins, and you can donate if you'd like by clicking the button below.

c) Spread the word! Below, you should find links to sharing this article on your favorite social media sites. I'm an attention junkie, so sharing is caring in my book!

Pin It

VG skriver i går om hvor ille det er med åpne trådløse nett i Oslo. Dette er visstnok et problem fordi it-eksperter tiltrukket kriminelle miljøer kan benytte disse nettene til å utføre ulumskheter.

Sludder og vås. Pølsevev. Åpne trådløse nettverk har lite eller ingenting med kriminalitet å gjøre i det hele tatt.

For det første, et WEP-sikret nettverk er noen tastetrykk unna å være tilgjengelig for alle uansett. IT-eksperter må antas å kjenne til verktøy som Airsnort som gjør knekking av WEP-kode til en lek. Dermed er ikke begrepet ‘lukket’ nettverk, i den grad man kan anta at WEP har noe med lukking å gjøre, noe mer sikret mot kriminell utnyttelse enn andre nettverk.

Det å lukke nettverkene sine gjør det kun vanskeligere for de som har legitime behov for tilgang til internett. De som har illegitime behov, for eksempel kriminelle, vet uansett hvordan de skal komme seg inn.

Jeg er stort sett tilhenger av åpen informasjon, så om du skulle ha interesse av å lære hvordan du knekker slike nettverk så er prosedyren omtrent som dette:
– Skaff deg et trådløstkort som støtter monitor-mode. Prism- eller Orinicokompatible kort funker greit.
– Last ned Airsnort og sett deg inn i hvordan det funker. Kjør, knekk, lather, rince, repeat.
Om nødvendig kan du gå forbi MAC-filtrering ved å endre en innstilling i registeret i Windows, men for å luke ut de som egentlig ikke gidder å lære seg noe så vil jeg bare henvise til Google for info om hvordan du gjør det.

Så vanskelig er det, derfor bør man ikke anta at kriminelle ikke klarer dette.

Jeg benytter trådløse nettverk stadig vekk, også til å sende sensitiv informasjon. Jeg sender gladelig mine übersensitive passord over åpne nett, fordi jeg gjør det på en sikker måte. Dette oppnår jeg ved å ha ende-til-ende krytpering, for eksempel gjennom VPN-forbindelser eller med protokoller som krypterer informasjon fra ende til ende.

Lukking av trådløse nettverk med WEP og MAC-filtrering er ikke effektivt på noe nivå. Er du ikke villig til å sikre dataene dine som om nettet var åpent bør du ikke bruke trådløse nett i det hele tatt.

Pin It

Det begynner nå å bli pinlig åpenbart det noen i sikkerhetsmiljøet har sagt i mange år, nemlig at oppdateringer av programvare er forferdelig viktig. Det er derimot ikke hele sannheten hva angår oppdateringer.

Det er nemlig slik at hele systemet trenger oppdateringer. Operativsystem er en ting, programvare en annen. De aller fleste glemmer derimot brukeren.

Brukerfeil er en svært viktig årsak til mange problemer som er med datamaskiner i dag. Hva slags brukerfeil er det snakk om? For eksempel trivielle ting som å åpne vedlegg an antar er legitime, klikke OK på å installere programvare signert av Mlcrosoft (og ja, det _er_ en feilstaving der), oppgi sensitiv informasjon på forespørsel og tilsvarende. Ingen programvare i verden kan hindre en bestemt bruker.

Det bør være et stort marked for noen som kan lage enkle rutiner for informasjonsoppdatering av brukere. De trenger informasjon om hvordan de kan gjenkjenne nye trusler og metoder for angrep – ikke på et teknisk plan men på et plan de kan forholde seg til.

Man er derimot tilbake til ‘problemet’ som stadig gjentas av motstandere av noen former for krav til brukere – du får ikke brukere til å engasjere seg nok til å gi dem informasjonen de trenger. Man trenger derfor en formidlingskanal som når ut til et tilstrekkelig antall brukere.

Jeg foreslår nyhetene på TV2 eller NRK. Av noen grunn ser fortsatt en stor andel av befolkningen på nyhetene hver kveld, på tross av almen tilgjengelighet av ferske nyheter til alle døgnets tider. Hva med å bruke litt tid av nyhetssendingen, når nye trusler dukker opp, til å gi brukere ned-på-bakken kunnskap om hvordan de skal forholde seg til nye trusler? Man kan ha en ekspertkommentator, slik man har i Jakobsen på fotball og Ødegaard på romfart. Gjør det på et illustrert vitenskap/se og hør nivå slik at folk interesserer seg for å få med seg informasjonen. Litt bjeller og fløyter er greit hvis det tjener en edlere hensikt.

Pin It