Det säkra lösenordet – inte så svårt som man tror

Marcus Olsson,

Ett säkert lösenord ser inte alltid ut som man tror. Många har säkert jobbat på ett större företag som har en egen IT-avdelning som envisas med att tvinga på en ett nytt lösenord var 30:e dag som ser ut som något i stil med "TxU32!jlkM". Lösenord av dessa typer må vara svåra att knäcka av en hackare crackare – men vem kommer ihåg ett sådant lösenord? Med största sannolikhet hamnar det på en post-it eller i ett anteckningsblock, och vips, där försvann en stor del av säkerheten.

Hur en crackare knäcker ditt lösenord

Det finns i huvudsak tre metoder som en crackare använder för att knäcka någons lösenord: "brute force attacks", "common word attacks" och "dictionary attacks". I det förstnämnda fallet så slumpas bokstäver och tecken tills rätt kombination nås – ju mer komplext lösenord, destå längre tid tar det. I en "common word attack" så har crackaren en lista på ord som hen vet förekommer ofta som lösenord (eller en lista på de mest förekommande orden i ett specifikt språk). I det sistnämnda så används en ordlista över alla vanligt förekommande ord, och går igenom alla dessa (därför ska man aldrig ha ett enda riktigt ord som lösenord).

Lösenordstyper efter säkerhet

  • ett "riktigt" ord med sex bokstäver (minst säker)
  • sex slumpmässiga bokstäver
  • sex slumpmässiga bokstäver med siffror
  • sex slumpmässiga bokstäver med siffror och specialtecken (säkrast)

Så långt har ju den störande IT-avdelningen helt rätt! Men, det finns ytterligare en variant av lösenord man kan använda sig av – sammansatta ord. Detta är bland de säkraste typerna av lösenord, t.ex. "min hund heter artur". Tänk dock på att lösenordet bör bestå av tre eller fler ord, annars så vinner fortfarande din IT-avdelning med en stor marginal.

Att räkna ut hur säkert ett lösenord är väldigt komplext, och jag är knappast någon säkerhetsexpert, men om tar lösenordet "password" t.ex. så består det av 8 tecken, alla är gemener, detta ger 268 (26 för antalet bokstäver a-z) kombinationer – alltså 208827064576 (nästan 209 miljarder) olika kombinationer. Detta får ses som ganska bra, då om crackaren provar 100 olika kombinationer i sekunden så skulle det ta hela 66 år knäcka lösenordet. Nu finns det dock två stora nackdelar med ett lösenord som "password", dels så är det ett riktigt ord (kan knäckas med en dictionary attack, och det finns endast cirka 500000 ord i den engelska ordlistan) och dels så är just "password" förmodligen ett av världens mest använda lösenord (denna lista talar för det – och jag tror dem). Så förmodligen skulle det vara knäckt på bara några timmar.

Ett lösenord som "jGWv1234" då? Där har man både gemener, versaler och siffror. Detta ger 62 olika kombinationer per tecken (52 för bokstäverna, och 10 för siffrorna), alltså 628. Med samma uträkning som ovan så skulle det ta en crackare över 69 000 år, vilket får ses som helt klart. Men vi är fortfarande kvar med problemet att komma ihåg lösenordet.

I fallet "min hund heter artur" – det är väldigt enkelt att komma ihåg, och säkert. Om man ser på antalet tecken, 17 stycken bokstäver plus tre specialtecken (mellanslag). Detta ger åtminstonde 3220 (32, lågt räknat – 26 gemener plus specialtecknena !#%&=? samt "mellanslag"). Med samma uträkning igen, ger det dig ett par hundra millennier andrum innan ditt lösenords knäcks (vid en brute force attack).

Mer att tänka på med lösenord

Det finns så klart många andra saker att tänka på när du väljer ditt lösenord. Det ovanstående exemplet "min hund heter artur" må vara säkert vid en brute force attack, men om man känner mig (eller har läst om mig) så vet man att min hund heter Artur, och då ökar chanserna att en crackare faktiskt kan gissa sig till rätt lösenord – så välj inga ord som kan kopplas till dig (namn, adresser etc.).

På senare år då tjänster tvingar en till att ha siffror och specialtecken i sina lösenord så tenderar folk att lägga till dessa sist i lösenordet, detta utnjytjar såklart crackarna – så placera inte en etta i slutet av ditt vanliga lösenord bara för att tjänsten kräver just en siffra. Om ditt lösenord blir "crackat" på ett ställe, så är det inte särskillt svårt för dem att cracka det på andra platser.

Vidare så är social engineering en av de vanligare metoderna idag för att få tag på lösenord – lämna aldrig ut ditt lösenord till någon!

Så helt enkelt – ett bra och säkert lösenord behöver inte alls vara svårt att komma ihåg – och den där IT-avdelningen, de är bara jobbiga.

Källor

Wikipedia.com (Social Engineering)
Symantec
Cerias
New York Times

Ser du något som är fel, eller har några kommentarer? Kontakta gärna mig på Twitter.