| Gode passwords |
 |
 |
 |
| Skrevet af Ronni K. G. Christiansen |
| Lørdag, 11. november 2006 01:00 |
 De fleste der har bærbar har sikkert også password på systemet. Det kan være password som skal indtastes under boot, eller password der skal indtastes når man logger på styresystemet, hvor det første er at fortrække, hvis muligheden er der. Der bruges også password til mere følsomme elementer som fx netbank eller til diverse sider på nettet. Man skal huske på at man ikke er sikker bare fordi der er password på – alt kan brydes, hvis man har tid nok! Det vigtigste ved et password er selvfølgelig hvad passwordet er og hvor ”tilfældigt” det er. Passwords som fx ”123456”, ”Jensen”, ”15-5-78” er ikke gode passwords, alle disse ville kunne brydes i løbet af relativ kort tid! Derfor bør man undgå følgende når man vælger passwords: 1 Man må aldrig bruge brugernavnet eller dele heraf. 2. Man må aldrig bruge sit eget fulde navn eller dele heraf. 3. Man bør ikke bruge ord der står i en ordbog, slet ikke en engelsk ordbog. 4. Man bør ikke bruge navne eller numre, der kan forbindes med brugeren, f.eks. tlf. numre fødselsdage og børnenavne. 5. Man må ikke bruge logiske tastkombinationer f.eks. ”qwerty” 6. Et password må aldrig skrives ned. Rådene giver sig selv, det er ikke smart at lave password der har noget at gøre med ting der kan sættes i forbindelse med en selv. Man bør også altid lære passwordet ud af hovedet og ikke have en seddel liggende, hvor det står på. Det er derfor at foretrække nedenstående ting: 1. Passwordet bør være mindst 10 tegn langt, men gerne 14 eller længere. 2. Et password bør indeholde både små og store bogstaver samt tal og specialtegn. Eksempler på hvor hurtigt passwords kan knækkes Nedenstående liste er lavet med crackprogrammet L0phtCrack 4.0, og er selvfølgelig bearbejdet, bl.a. er brugernavnene fjernet. L0phtCrack er ikke konfigureret, ordlisten er den medfølgende standard engelske ordliste, Computeren er en gammel 533 Mhz Pentium, der lavede andet mens den arbejdede på at bryde passwordene. På nyere computere, hvor programmet er konfigureret med en dansk ordliste, vil man kunne dividere tiderne med over faktor 5.
Resultaterne er ganske skræmmende, og yderligere kan programmet eller andre lignende uden de store problemer findes på nettet. Password: Tid: Metode: "brugernavn" 0 sek. Ordliste 111111 0 sek. Ordliste 123123 0 sek. Ordliste 123456 0 sek. Ordliste 654321 0 sek. Ordliste MICHELLE2 10 sek. Hybrid MUSTANG94 10 sek. Hybrid BRAVO7 22 sek. Hybrid BRIAN0405 22 sek. Hybrid DEXTER3 37 sek. Hybrid DIANA0105 37 sek. Hybrid COMMUNICATION3 1 min 20 sek. Hybrid POLAR1 1 min 20 sek. Hybrid MMMMMM 10 min 44 sek. Brute Force MANDAG 11 min 38 sek. Brute Force METALSTORM 46 min 51 sek. Brute Force KALTOFTIDA 49 min 27 sek. Brute Force SKOVBRYNET42 5 timer 41 min 34 sek. Brute Force TIGERDYR2 5 timer 43 min 56 sek. Brute Force O6VQ2U8O5LIQR6 12 timer 12 min 19 sek. Brute Force LONNI48 12 timer 19 min 13 sek. Brute Force Nu kunne du måske fristes til at tro at LONNI48 er et godt password, når det tager hele 12 timer og 20 minutter, men det er det ikke, et godt password bør tage mindst 3 måneder at bryde (da man bør skifte password mindst hver 3. måned for at være på den helt sikre side) Hvordan laver du gode passwords der kan huskes For at lave password der tager rigtig lang tid at bryde kan man fx give specialkaraktererne navne og lav rebuser som er nemme at huske, se fx nedenstående eksempler: ”Jeg bor ved de 2 hvide norske havelåger” = jbvd2hN# ”Andersine og hendes 3 nevøer Rip, Rap og Rup” = &oh3nIAU ”Hos Lonni og Frank finder du 3 hvide katte” = @LoFd3hk ”Dykkeren Søren fandt 25 gamle Tyske sø miner” = dSf25gT¤ Sådan virker et passwordcrackværktøj Når du taster et password ind i Windows, bliver dette password konverteret til en såkaldt hashværdi (i virkeligheden er række bits, ofte 160, skrevet med heksedecimale tal - værdier fra 0 til F). En hashværdi er kendetegnet ved at to forskellige passwords ikke kan give den samme hashværdi, og ved at du ikke kan regne baglæns og ud fra hashværdien regne dig frem til passwordet. Passwordcrackværktøjer som fx den førnævnte L0phtCrack, kan med andre ord ikke regne sig frem til dit password, de kan kun prøve sig frem med forskellige passwords som den omsætter til hashværdier, som den derefter sammenligner med hash værdien fra dit password og hvis de to hash værdier er ens, vil passwordene også være det, hvilket betyder at dit password er cracket. Passwordcrackværktøjer fungerer på den måde, at de fra starten indeholder en liste over hashværdier på de mest almindeligt brugte ord og tastkombinationer. Når værktøjet indlæser hash værdierne fra din maskine, vil det genkende alle de hash værdier, og deres tilhørende passwords, hvor brugeren har brugt et kendt ord eller tastekombination. Dette tager 0 sekunder, hvorfor sådanne passwords selvfølgelig er værdiløse. Passwordcrackværktøjer indeholder også en ordbog, der kan skiftes af hackeren. Som standard indeholder de normalt en engelsk ordbog, men en dygtig hacker vil skifte denne ordbog med ordbøger specielt tilpasset til de forhold han forventer at møde. I Danmark vil en hacker derfor hvis han er smart indlægge en dansk ordliste, en engelsk ordliste, en liste over danske pige og drengenavne, samt en liste med ord der forbindes med personen han ønsker at angribe. Ordene i ordlisterne omsættes til hashværdier, der sammenlignes med de indlæste værdier, og hver gang to ens findes, er et password cracket. Hvis du synes dette lyder som en langvarig proces, så se eksemplerne ovenover. Den sidste metode der gennemføres, kombineres med ordliste og er således faktisk to metoder. Metoden kaldes Brute Force, og er en systematisk afprøvning af alle kombinationer af små bogstaver, små og store bogstaver, små, store bogstaver og tal, små, store bogstaver, tal og special tegn. Først bruteforces kombinationer af ordlisternes ord, dvs. kombinationer af bogstaver, tal, og tegn der stilles foran og bagefter ord fra ordlisten. Hvis ingen af dem giver resultat, forsøges der systematisk med ren brute force af alle kombinationer der findes. Passwordcrackværktøjet kan selvfølgelig konfigureres på et væld af måder. Du kan indstille hvor lange ord den skal forsøge med, om den skal forsøge med både store og små bogstaver, tal og tegn, og meget mere. Alt sammen noget der gør det nemmere og hurtigere for hackeren at bryde dit password. Teksten er leveret af Kim Guldberg |
