Så du tror, ​​dine internetadgangskoder er sikre?
Paul Haskell-Dowland
, Forfatter leveret

Adgangskoder er blevet brugt i tusinder af år som et middel til at identificere os selv for andre og i nyere tid til computere. Det er et simpelt koncept - et delt stykke information, holdes hemmeligt mellem enkeltpersoner og bruges til at "bevise" identitet.

Adgangskoder i IT-sammenhæng opstod i 1960'erne med mainframe computere - store centralt betjente computere med fjerntliggende "terminaler" til brugeradgang. De bruges nu til alt fra den pinkode, vi indtaster ved en pengeautomat, til at logge ind på vores computere og forskellige websteder.

Men hvorfor har vi brug for at "bevise" vores identitet til de systemer, vi får adgang til? Og hvorfor er adgangskoder så svære at få ret?

Hvad gør en god adgangskode?

Indtil relativt for nylig kunne en god adgangskode have været et ord eller en sætning på så lidt som seks til otte tegn. Men vi har nu retningslinjer for minimumslængde. Dette skyldes ”entropi”.

Når man taler om adgangskoder, er entropi mål for forudsigelighed. Matematikken bag dette er ikke kompleks, men lad os undersøge det med et endnu enklere mål: antallet af mulige adgangskoder, undertiden benævnt "adgangskodepladsen".


indre selv abonnere grafik


Hvis en adgangskode med et tegn kun indeholder et lille bogstav, er der kun 26 mulige adgangskoder (“a” til “z”). Ved at inkludere store bogstaver øger vi vores adgangskodeplads til 52 potentielle adgangskoder.

Adgangskodepladsen fortsætter med at udvides, når længden øges, og andre karaktertyper tilføjes.

At gøre en adgangskode længere eller mere kompleks øger i høj grad den potentielle 'adgangskodeplads'. Mere plads til adgangskoder betyder en mere sikker adgangskode.

At gøre en adgangskode længere eller mere kompleks øger i høj grad den potentielle 'adgangskodeplads'. (så du tror, ​​dine internetadgangskoder er sikre)

Når man ser på ovenstående figurer, er det let at forstå, hvorfor vi opfordres til at bruge lange adgangskoder med store og små bogstaver, tal og symboler. Jo mere kompleks adgangskoden er, jo flere forsøg er nødvendige for at gætte den.

Problemet med afhængig af adgangskodekompleksitet er imidlertid, at computere er meget effektive til at gentage opgaver - herunder gætte adgangskoder.

Sidste år a rekord blev sat til en computer, der prøver at generere alle tænkelige adgangskoder. Det opnåede en hastighed hurtigere end 100,000,000,000 gæt per sekund.

Ved at udnytte denne computerkraft kan cyberkriminelle hacke sig ind i systemer ved at bombardere dem med så mange adgangskodekombinationer som muligt i en proces kaldet angreb fra brute force.

Og med skybaseret teknologi kan gætning af en adgangskode på otte tegn opnås på så lidt som 12 minutter og koster så lidt som 25 dollars.

Også fordi adgangskoder næsten altid bruges til at give adgang til følsomme data eller vigtige systemer, motiverer dette cyberkriminelle til aktivt at søge dem. Det driver også et lukrativt online marked, der sælger adgangskoder, hvoraf nogle kommer med e-mail-adresser og / eller brugernavne.

Du kan købe næsten 600 millioner adgangskoder online for kun AU $ 14!

Hvordan gemmes adgangskoder på websteder?

Webstedsadgangskoder gemmes normalt på en beskyttet måde ved hjælp af en matematisk algoritme kaldet hashing. En hashadgangskode kan ikke genkendes og kan ikke omdannes til adgangskoden (en irreversibel proces).

Når du prøver at logge ind, hashades den adgangskode, du indtaster, ved hjælp af den samme proces og sammenlignes med den version, der er gemt på webstedet. Denne proces gentages hver gang du logger ind.

F.eks. Får adgangskoden "Pa $$ w0rd" værdien "02726d40f378e716981c4321d60ba3a325ed6a4c", når den beregnes ved hjælp af SHA1-hashingalgoritmen. Prøv det dig selv.

Når man står over for en fil fuld af hashede adgangskoder, kan der anvendes et brutalt kraftangreb, der prøver hver kombination af tegn i en række adgangskodelængder. Dette er blevet så almindelig praksis, at der er websteder, der viser almindelige adgangskoder sammen med deres (beregnede) hashværdi. Du kan simpelthen søge efter hash for at afsløre den tilsvarende adgangskode.

Tyveri og salg af adgangskodelister er nu så almindeligt, a dedikeret hjemmesidehaveibeenpwned.com - er tilgængelig for at hjælpe brugerne med at kontrollere, om deres konti er "i naturen". Dette er vokset til at omfatte mere end 10 milliarder kontooplysninger.

Hvis din e-mail-adresse er angivet på dette websted, bør du helt sikkert ændre den opdagede adgangskode såvel som på andre websteder, som du bruger de samme legitimationsoplysninger til.

Er løsningen mere kompleks?

Du ville tro, at så mange adgangskodebrud forekommer dagligt, ville vi have forbedret vores praksis for valg af adgangskode. Desværre sidste års årlige SplashData-adgangskodeundersøgelse har vist lidt forandring over fem år.

Den årlige SplashData-adgangskodeundersøgelse i 2019 afslørede de mest almindelige adgangskoder fra 2015 til 2019.Den årlige SplashData-adgangskodeundersøgelse i 2019 afslørede de mest almindelige adgangskoder fra 2015 til 2019.

Efterhånden som computerkapaciteterne øges, ser løsningen ud til at være øget kompleksitet. Men som mennesker er vi ikke dygtige til (eller motiverede til) at huske meget komplekse adgangskoder.

Vi har også bestået det punkt, hvor vi kun bruger to eller tre systemer, der har brug for en adgangskode. Det er nu almindeligt at få adgang til adskillige websteder, hvor hver kræver en adgangskode (ofte af varierende længde og kompleksitet). En nylig undersøgelse antyder, at der i gennemsnit er 70-80 adgangskoder pr. Person.

Den gode nyhed er, at der er værktøjer til at løse disse problemer. De fleste computere understøtter nu adgangskodelagring i enten operativsystemet eller webbrowseren, normalt med mulighed for at dele lagret information på tværs af flere enheder.

Eksempler inkluderer Apples iCloud nøglering og muligheden for at gemme adgangskoder i Internet Explorer, Chrome og Firefox (dog mindre pålidelige).

Adgangskodeadministratorer såsom KeePassXC kan hjælpe brugerne med at generere lange, komplekse adgangskoder og gemme dem på et sikkert sted, når det er nødvendigt.

Mens denne placering stadig skal beskyttes (normalt med en lang "hovedadgangskode"), kan du bruge en adgangskodeadministrator til at have en unik, kompleks adgangskode til hvert websted, du besøger.

Dette forhindrer ikke, at en adgangskode bliver stjålet fra et sårbart websted. Men hvis den bliver stjålet, behøver du ikke bekymre dig om at ændre den samme adgangskode på alle dine andre websteder.

Der er naturligvis også sårbarheder i disse løsninger, men måske er det en historie for en anden dag.

Om forfatterne

Paul Haskell-Dowland, lektor (databehandling og sikkerhed), Edith Cowan University og Brianna O'Shea, lektor, etisk hacking og forsvar, Edith Cowan University

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs oprindelige artikel.