Svaga lösenord

DN skriver om en undersökning från PTS som konstaterar att många använder svaga lösenord som man dessutom återanvänder.

I min värld är detta knappast en nyhet, starka lösenord är svåra att skapa och svåra att komma ihåg. Har man olika lösenord på flera ställen så blir det snart omöjligt att komma ihåg dem alla.

Via Bruce Schneier hittade jag ett paper som ställer frågan om starka lösenord på webben verkligen gör någon nytta.

Min erfarenhet säger att nästan alla it-administratörer på skolor och på företag har ställt in systemen som så att kontot låses (tillfälligt) efter ett antal misslyckade inloggningsförsök. En annan variant är att uppkopplingen mot servern kopplas ner efter ett antal felaktiga försök (ofta i kombination med kontoutelåsning).
Detta påverkar en online brute-force-attack eftersom man bara har ett visst antal försök på sig, misslyckas man med att gissa rätt lösenord så får man vänta tills kontolåsningen är hävd. Kombineras detta med att förbindelsen kopplas ner så slöas sökningen ner ännu mer eftersom man måste koppla upp mot servern igen.

I detta scenariot kan även ett svagt lösenord motstå attack-försöken under en ganska lång tid, och förhoppningsvis så uppmärksammas intrångsförsöket innan intrång har skett.

Om vi då tittar på webbtjänster som kräver inloggning så har jag aldrig stött på en enda som tillämpar ovanstående metoder, trots att det inte är någon större svårighet att bygga ett system som antingen låser inloggningen under en tidsperiod (t.ex. en timme) eller skickar ett mejl till kontoinnehavaren med en länk som låser upp kontot igen. En annan variant hade varit att tillfälligt blockera attackerande IP-adress (t.ex. under 30 minuter första gången och sedan successivt ökande tidsperiod).

Detta skulle öka säkerheten en smula eftersom man gör så att en brute-forceattack tar längre tid även om lösenordet är svagt.

Observera att detta gäller så länge angriparen aktivt försöker logga in på systemet genom att försöka med olika lösenord, ifall angriparen har kommit över databasen med lösenord så innebär denna typen av spärrar inte något hinder eftersom man knäcker offline. Då är det bara ett starkt lösenord som gäller.

Hursomhelst så hade jag gärna sett att fler webbtjänster införde system där man efter ett visst antal felaktiga inloggningsförsök blockerar aktuell användare en stund, detta i kombination med system som kräver lösenord av en viss längd som kontrolleras mot en ordlista skulle minska risken för övertagna konton.
Och detta är viktigt i dagsläget där alltmer saker flyttas ut på nätet och skyddas med lösenord och användarnamn.

Intressant

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s


%d bloggare gillar detta: