Den uknækkelige adgangskode

Lad os koge suppe på en adgangskode.

Adgangskode: 'kode'
Vi tager en kort adgangskode, så vi næsten kan have alle de store tal i hovedet.

Hvis en skurk skal bryde adgangskoden 'kode', kommer han aldrig ud i at skulle forsøge flere end 25*25*25*25 gange. Det er 390.625 gange.

Det er ikke sikkert nok. Så vi tager, lidt modvilligt, hul på også at bruge store bogstaver, 'KoDe'. Det vil nu, i værste fald, koste skurken 50*50*50*50 forsøg. 6.250.000 forsøg. Vi har lige gjort skurkens opgave 16 gange sværere.

Opgraderingen til 'K@d3' betyder et maksimalt antal forsøg på 70*70*70*70, cirka 24 millioner forsøg. En adgangskode, der er cirka 61 gange sværere.

Vi tager den første konklusion: Lidet avancerede skurke skal bruge 16-61 gange så lang tid på adgangskoder, der bruger både store og små bogstaver og specialtegn.

Men det kan vi forbedre.

Længere adgangskoder er bedre adgangskoder.

For at gøre skurkenes liv sværere skal der lange adgangskoder på bordet. 'Kodeglad' er næsten lige så let at huske og skrive som 'kode'. Den er bare 390.625 gange sværere at knække sig vej frem til (med den grove metode).
Så der har vi den anden konklusion: Længere adgangskoder er væsentligt bedre end korte - uanset hvad man gør med de korte. Men træerne vokser på ingen måde ind i himlen.

Frem med ordbogen

For avancerede skurke gider ikke forsøge 24 millioner eller 24 milliarder gange pr. bruger. De downloader en ordbog. Her står 'kode' på linje 159.117.
Tuner de ordbogen lidt og laver varianter af ordene med store og små bogstaver plus specialtegn, ryger de måske over 159.117 forsøg, men holder sig bekvemt under de mange millioner eller milliarder forsøg, vi fejlagtigt tror, at de skal bruge.

Det giver basis for vores næste konklusion: Brug ikke en adgangskode, der står i en ordbog - heller ikke selvom du maskerer den med specialtegn og lignende.
Forsøg i øvrigt heller ikke med geografiske navne eller navne fra fiktionens verden. Skurkene har helt sikkert også en liste med bynavne og alle mulige fiktive personer hevet ud af avisartikler, e-bøger, YouTube-kommentarer og Twitter.

Men ordbogen?

'Kode' står i ordbogen. 'Glad' står i ordbogen. Hvad nu hvis skurkene kombinerer ord i stedet for at lede hjerneløst igennem fra a til z (eller å/~)? Med cirka 4.000 ord på fire bogstaver giver det 16 millioner kombinationer. Ha! Det gør stadig ondt på skurken.
Vi fejrer det med at udvide vores adgangskode til 'kodegladMand', 2,44*1020 kombinationer. Selv med 1.000 forsøg i sekundet vil det tage skurken milliarder af år at gætte vores kode! Bortset fra i virkeligheden.

Ekstrem hardware til spotpris

For det er mange år siden, at 1.000 forsøg i sekundet var den værste trussel.
Allerede for tre år siden kunne en almindelig stationær med en god mængde hukommelse og et godt grafikkort prøve over otte milliarder adgangskoder i sekundet! (kortlink.dk/hvtn). Specialbyggede maskiner til 20.000 nutidskroner? 350 milliarder forsøg i sekundet! (kortlink.dk/hvtq).

Hvad med endnu længere adgangskoder?

OK. Hvad så med 'kodegladManddrikkervand'? Eller 'kodegladManddrikkervandafenspand'? Tjo ... lige nu er de måske ikke dækket af en regel i skurkenes kodebibliotek, og så er de svære at knække.

Det kan være, at 'kodegladManddrikkervand' vil være blandt de heldige 10 procent af adgangskoderne på et givet site, skurkene ikke kan grave frem (kortlink.dk/hvvy). Men hvad med 'uAse9pXV#oov9lUD”ahEwLYQrcOwFO3/lSrXug'?

Det skal være uskriveligt og uhuskeligt

Ugudeligt lange og tilfældige adgangskoder er dem, der bedst modstår skurke. Men dem kan man ikke huske. Her træder password-tjenester som Lastpass, KeePass og 1Password (alternativeto.net/software/lastpass) ind på scenen og tilbyder at finde på uhuskelige, uskrivelige og ubrydelige adgangskoder for dig - og at sætte dem ind, hvor du måtte have brug for dem.

Tjenesterne fungerer faktisk utroligt godt. De nedsætter det daglige bøvl, mens de sandsynligvis hæver sikkerheden.

Skulle Lastpass forsvinde fra den ene dag til den anden, er man selvfølgelig efterladt med en masse tjenester, hvor man i praksis ikke kender adgangskoden. Men det er faktisk ikke så stort et problem. De fleste tjenester sender gladeligt “Nulstil adgangskode”-mails ud, hvis man beder om det. Så man kan hurtigt være oppe på hesten igen.

For Lastpass er desktop/laptop gratis, mens man betaler omkring en dollar om måneden for at få mobilen med i systemet. Adgangskodehuskerne er en god garanti for, at man har ubrydelige, unikke adgangskoder ude på alle de tjenester, man bruger. Og man må forvente, at de er ret hysteriske med egen sikkerhed.

Facebook, Google og Twitter

En anden fin løsning er at logge ind på så mange sites som muligt ved hjælp af Facebook, Google og Twitter. Facebook, Google og Twitter er mere hysteriske med sikkerheden end de gennemsnitlige internet-tjenester og byder på 'two factor authentication', to-trinsgodkendelse. I praksis betyder det, at enhver ny maskine/browser/skurk, der vil ind på din konto - selv med den rette adgangskode - først kommer ind, når du har godkendt med din mobil. Man bør klart slå to-trinsgodkendelse til alle steder, det er muligt. Den daglige irritation er minimal, og sikkerheden bliver i ekstrem grad forøget.

Det er en hård verden

Når det kommer til adgangskoder, kan du ikke rigtigt stole på dig selv. Maskiner laver bedre og længere adgangskoder end dig. Adgangskodehuskerne husker dem bedre end dig, og Facebook og Google har formentlig væsentlig bedre sikkerhed end 90 procent af de internet-tjenester, du er tilknyttet.





Læs også...

Millioner af udviklere verden over bruger hver dag JavaScript – men hvorfor er programmeringssproget blevet så populært? PROSAbladet har talt med…

Et nyt projekt indsamler danske stemmer for at sikre, at AI-løsninger fremover også kan tale med dialekter. Du kan også donere din stemme, skriver DR.…

I dag lever Andreas Green Rasmussen af at finde dygtige iværksættere, han kan investere i. Men han har også selv flere startups på CV'et – og han ved,…

Ugly Duckling Ventures er en dansk venturefond, der håber at finde de startups, som bliver store milliardforretninger. Men hvad er en venturefond…

Der findes et hav af muligheder, når du som iværksætter skal finde finansiering til din startup. PROSAbladet guider dig til otte steder, hvor du kan…

Tech-giganterne er stadig i front, når it-studerende skal rangere populære arbejdspladser. Til gengæld har de store konsulenthuse taget et stort dyk…

Nye løsninger, en fælles dataplatform og et digitalt innovationscenter. Det er tre af hovedpunkterne i regeringens nye udspil, der skal sætte skub…

I den lille, amerikanske by Granbury i Texas summer en bitcoin-mine så meget, at borgerne i byen bliver syge.

Aktivisme er et vanvittigt godt ord til at beskrive rigtigt meget af det, der sker i underskoven af it og tech. Aktivisme er aktivt at deltage. At…

Når teknologien ikke virker, eller vi mennesker skal lære nye systemer at kende, kan det skabe stress. En gruppe forskere fra Roskilde Universitet har…