RSS

Hur ser ett bra lösenord ut?

28 Aug

Det där med lösenord är inte helt lätt och vi alla konfronteras med det varje gång vi skapar ett nytt konto någonstans på nätet eller känner att vi borde byta det lösenord vi har. Gör vi lösenordet för enkelt är det inte säkert, medan ett komplicerat lösenord är för svårt att komma ihåg. Så hur gör man?

Bruce Byfield skriver i ”Passwords and Convenience” om att de flesta föredrar något behändigt även om det inte är så säkert. Det skulle nog de flesta känna igen sig i. Så att tillämpa något företags policy när det gäller komplicerade lösenord, är inget man gör om man inte måste.

Om vi nu förutsätter att den webbplats där du har ett konto, t ex Facebook, GMail, Hotmail eller Yahoo förvarar ditt lösenord krypterat och på säker plats, så finns det väl bara två sätt att komma åt ditt lösenord.

  • Knäcka det direkt från internet, vilket tar tid och borde upptäckas av någon säkerhetsansvarig.
  • Webbplatsen blir hackad, lösenorden blir stulna och hackaren kan knäcka dem off-line. Hur snabbt det går, beror på hur mycket datorkraft hackarna har.

För det händer emellanåt att någon webbplats blir hackad och användarnas konton och lösenord sprids på nätet. I början av sommaren var det LinkedIn som råkade illa ut då 6,5 miljoner lösenord lades ut på nätet. (PC för Alla: Linkedin bekräftar hack – miljoner lösenord på vift och Hacket mot Linkedin – allt du behöver veta.)

Det är då man behöver ha dels ett lösenord med stor entropi och att man inte har samma lösenord på flera ställen på nätet.

Fyra ord och entropi

I tidskriften Linux Format #162 oktober 2012 skriver James Litton om att hitta en bättre strategi för sina lösenord. Han talar om att ett lösenord kan ha en viss entropi och ju mer dessto bättre.

Han utgår från orden ‘apple’, ‘phone’, ‘foot’ och ‘train’ och lägger ihop dem till ‘applephonefoottrain’. Det är inte så komplext, men lätt att komma ihåg och det är ändå osannolikt att någon skulle gissa det. Som kontrast anger han följande lösenord, som skulle stämma med den policy som vissa företag har: ‘Ff%#ht!4-2’. Det intressanta är att det första lösenordet har mer entropi än det andra.

To make this clear, our second password, which is so complex and seemingly secure, has 27 bits of entropy and can be, in theory, cracked in just over 37 hours at 1.000 guesses per second. Our first password, which is much easer to remember an seemingly, less secure than the second, has 34.5 bits of entropy, and would take about 281 days to crack at 1.000 guesses per second. Add in a mixed-case character and a special character for something such as ‘applephoneFoot#train’ and we can increase our bits of entropy to 42, which would take 139 years to crack at 1.000 guesses per second.

Vill man dyka djupare inom ämnet entropi och lösenord, kan man läsa Aaron Toponces artikel ”Strong Passwords NEED Entropy”. Han ger i ”Another Reminder About Passwords” två råd när det gäller lösenord.

  1. Use different passwords for every account online.
  2. Use passwords with a great deal of entropy.

(Han skriver också om ”Password Cards”, som är ett sätta ha sin egen lösenordsgenerator på ett kort stort som ett kontantkort. För att skapa ditt eget Lösenordskort, gå till PasswordCard.org.)

Kevin Fogarty skriver i ”How many seconds would it take to break your password? om hur lång tid det tar att hacka ett lösenord av olika längd och komplexitet.

Känns det som om vi skulle vilja konstruera ett sånt lösenord? Lätt att komma ihåg, men ändå svårt att knäcka? Visst är det så!

Sortera en ordlista

Hur man rent praktisk går till väga beskriver James Litton så här. Det handlar alltså om hur man gör på en dator som kör någon form av Linuxsystem, t ex Ubuntu.

Först måste man få tag i en ordlista. Har man installerat Ubuntu med svenska som språk, finns filen /usr/share/dict/svenska. Den innehåller drygt 120.000 ord, så utbudet är stort.

Nu behöver man kommandot shuf för att blanda orden slumpmässigt och sedan kommandot head för att skriva ut de fyra första orden.

shuf /usr/share/dict/svenska | head -n 4

Det här kan ge följande ord som inte har någon inbördes gemenskap.

avlöningarnas
behöriga
tulpanens
intagen

Du kan alltså bara lägga ihop de här orden för att få ett lösenord. Men man kanske vill ha inte fullt så långa ord. Man behöver då lägga in en begränsning i hur många bokstäver ett ord får innehålla. Det gör vi med kommandot grep.

shuf /usr/share/dict/svenska | grep "^[^']\{3,5\}$" | head -n 4

Det här ger en lista med ord på 3 till 5 bokstäver. Alltså så här.

bina
jakat
gasar
ditt

För att underlätta ännu mer för oss själva kan vi göra så att orden skrivs ihop direkt. Det gör vi med kommandot tr. Sedan skrivs allt ut med kommandot xargs för att få en ny rad när ordens skrivs ut på skärmen.

shuf /usr/share/dict/svenska | grep "^[^']\{3,5\}$" | 
	head -n 4 | tr -d '\n' | xargs

Nu får vi allt på en rad.

karathonordatorplugg

Det går säkert att komma ihåg det här. Men det är fortfarande bara små bokstäver. Vi behöver åtminstone några stora. Därför gör vi ett litet tillägg med kommandot sed.

shuf /usr/share/dict/svenska | grep "^[^']\{3,5\}$" | 
	head -n 4 | sed 's/[^ ]\+/\L\u&/g' | 
	tr -d '\n' | xargs

Vilket ger följande intressanta kombination av ord.

UvarByttaRevatGadd

Nu behöver vi bara lägga till någon siffra och ett specialtecken, så är vi i hamn. Men så långt går inte James Litton. Men i princip skulle det kunna se ut så här.

UvarByttaRevatGadd#1

Använda fantasin

Nu ska man inte misströsta om man inte kör Ubuntu eller något annat Linuxsystem. Det här går att ordna även på annat sätt, utan ett kommandon i en terminal.

Även om de här kommandona skapar ordkopplingar mer slumpmässigt, för utom att de finns i samma ordlista, så går det även att använda sin egen fantasi. Det gäller bara att koppla ihop ord från olika områden. ‘KorvBröd’ är alltså inte bra, vare sig när det gäller längd antal kopplade ord, plus att det finns som ett eget ord i ordlistan.

Man behöver inte ens bara ha svenska ord, utan bland olika språk och dialektala ord som inte finns i någon ordlista. Fördelen är att vi då inte bara tar ur en ordlista. På min Ubuntu har jag även ordlistor för amerikansk engelska och brittiska engelska att ösa ur.

Huvudsaken är alltså att lösenordet får en stor mängd entropi.

Creative Commons-licens
Hur ser ett bra lösenord ut? av Maths Göthe är licensierad under en Creative Commons Erkännande-DelaLika 3.0 Unported licens.

 
Lämna en kommentar

Publicerat av på 28 augusti 2012 i Dator, Säkerhet

 

Etiketter: , , , , , , ,

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

 
%d bloggare gillar detta: