Lad os koge suppe på en adgangskode.
Adgangskode: 'kode'
Vi tager en kort adgangskode, så vi næsten kan have alle de store tal i hovedet.
Hvis en skurk skal bryde adgangskoden 'kode', kommer han aldrig ud i at skulle forsøge flere end 25*25*25*25 gange. Det er 390.625 gange.
Det er ikke sikkert nok. Så vi tager, lidt modvilligt, hul på også at bruge store bogstaver, 'KoDe'. Det vil nu, i værste fald, koste skurken 50*50*50*50 forsøg. 6.250.000 forsøg. Vi har lige gjort skurkens opgave 16 gange sværere.
Opgraderingen til 'K@d3' betyder et maksimalt antal forsøg på 70*70*70*70, cirka 24 millioner forsøg. En adgangskode, der er cirka 61 gange sværere.
Vi tager den første konklusion: Lidet avancerede skurke skal bruge 16-61 gange så lang tid på adgangskoder, der bruger både store og små bogstaver og specialtegn.
Men det kan vi forbedre.
Længere adgangskoder er bedre adgangskoder.
For at gøre skurkenes liv sværere skal der lange adgangskoder på bordet. 'Kodeglad' er næsten lige så let at huske og skrive som 'kode'. Den er bare 390.625 gange sværere at knække sig vej frem til (med den grove metode).
Så der har vi den anden konklusion: Længere adgangskoder er væsentligt bedre end korte - uanset hvad man gør med de korte. Men træerne vokser på ingen måde ind i himlen.
Frem med ordbogen
For avancerede skurke gider ikke forsøge 24 millioner eller 24 milliarder gange pr. bruger. De downloader en ordbog. Her står 'kode' på linje 159.117.
Tuner de ordbogen lidt og laver varianter af ordene med store og små bogstaver plus specialtegn, ryger de måske over 159.117 forsøg, men holder sig bekvemt under de mange millioner eller milliarder forsøg, vi fejlagtigt tror, at de skal bruge.
Det giver basis for vores næste konklusion: Brug ikke en adgangskode, der står i en ordbog - heller ikke selvom du maskerer den med specialtegn og lignende.
Forsøg i øvrigt heller ikke med geografiske navne eller navne fra fiktionens verden. Skurkene har helt sikkert også en liste med bynavne og alle mulige fiktive personer hevet ud af avisartikler, e-bøger, YouTube-kommentarer og Twitter.
Men ordbogen?
'Kode' står i ordbogen. 'Glad' står i ordbogen. Hvad nu hvis skurkene kombinerer ord i stedet for at lede hjerneløst igennem fra a til z (eller å/~)? Med cirka 4.000 ord på fire bogstaver giver det 16 millioner kombinationer. Ha! Det gør stadig ondt på skurken.
Vi fejrer det med at udvide vores adgangskode til 'kodegladMand', 2,44*1020 kombinationer. Selv med 1.000 forsøg i sekundet vil det tage skurken milliarder af år at gætte vores kode! Bortset fra i virkeligheden.
Ekstrem hardware til spotpris
For det er mange år siden, at 1.000 forsøg i sekundet var den værste trussel.
Allerede for tre år siden kunne en almindelig stationær med en god mængde hukommelse og et godt grafikkort prøve over otte milliarder adgangskoder i sekundet! (kortlink.dk/hvtn). Specialbyggede maskiner til 20.000 nutidskroner? 350 milliarder forsøg i sekundet! (kortlink.dk/hvtq).
Hvad med endnu længere adgangskoder?
OK. Hvad så med 'kodegladManddrikkervand'? Eller 'kodegladManddrikkervandafenspand'? Tjo ... lige nu er de måske ikke dækket af en regel i skurkenes kodebibliotek, og så er de svære at knække.
Det kan være, at 'kodegladManddrikkervand' vil være blandt de heldige 10 procent af adgangskoderne på et givet site, skurkene ikke kan grave frem (kortlink.dk/hvvy). Men hvad med 'uAse9pXV#oov9lUD”ahEwLYQrcOwFO3/lSrXug'?
Det skal være uskriveligt og uhuskeligt
Ugudeligt lange og tilfældige adgangskoder er dem, der bedst modstår skurke. Men dem kan man ikke huske. Her træder password-tjenester som Lastpass, KeePass og 1Password (alternativeto.net/software/lastpass) ind på scenen og tilbyder at finde på uhuskelige, uskrivelige og ubrydelige adgangskoder for dig - og at sætte dem ind, hvor du måtte have brug for dem.
Tjenesterne fungerer faktisk utroligt godt. De nedsætter det daglige bøvl, mens de sandsynligvis hæver sikkerheden.
Skulle Lastpass forsvinde fra den ene dag til den anden, er man selvfølgelig efterladt med en masse tjenester, hvor man i praksis ikke kender adgangskoden. Men det er faktisk ikke så stort et problem. De fleste tjenester sender gladeligt “Nulstil adgangskode”-mails ud, hvis man beder om det. Så man kan hurtigt være oppe på hesten igen.
For Lastpass er desktop/laptop gratis, mens man betaler omkring en dollar om måneden for at få mobilen med i systemet. Adgangskodehuskerne er en god garanti for, at man har ubrydelige, unikke adgangskoder ude på alle de tjenester, man bruger. Og man må forvente, at de er ret hysteriske med egen sikkerhed.
Facebook, Google og Twitter
En anden fin løsning er at logge ind på så mange sites som muligt ved hjælp af Facebook, Google og Twitter. Facebook, Google og Twitter er mere hysteriske med sikkerheden end de gennemsnitlige internet-tjenester og byder på 'two factor authentication', to-trinsgodkendelse. I praksis betyder det, at enhver ny maskine/browser/skurk, der vil ind på din konto - selv med den rette adgangskode - først kommer ind, når du har godkendt med din mobil. Man bør klart slå to-trinsgodkendelse til alle steder, det er muligt. Den daglige irritation er minimal, og sikkerheden bliver i ekstrem grad forøget.
Det er en hård verden
Når det kommer til adgangskoder, kan du ikke rigtigt stole på dig selv. Maskiner laver bedre og længere adgangskoder end dig. Adgangskodehuskerne husker dem bedre end dig, og Facebook og Google har formentlig væsentlig bedre sikkerhed end 90 procent af de internet-tjenester, du er tilknyttet.