torsdag 19 mars 2009

Vilse i passwordens djungel

Det råder en hysteri när det gäller lösenord. Nja, kanske inte ren hysteri, men problemställningen är att en normalfuntad människa inte kan komma ihåg alla identiteter och password.

Ärligt talat: har inte du åxå en lapp under tangentbordet, musmattan eller i översta lådan där alla identiteter och password är uppskrivna?

Det är bankomatkoder, kontonummer, personnummer, registreringsnummer på bilen, tankkortskoder, portkoder, telefonnummer, m.fl. bara utanför datorernas förlovade land. Därtill kommer alltså login-identiteter på servrar och nätverk. Och ovanpå det allstå alla identiteter man har på nätet med kopplade passwords. Det är helt enkelt så i mitt fall att jag kan komma ihåg alla dessa koder, och alltså skriver jag upp dem. Värst är när man på sitt arbete är tvingad att byta kod med viss frekvens och den nya inte får vara för lika någon av de senaste 12 som använts, samt givetvis rätt komplicerad med ett visst antal tecken eller så.

Alltså har de säkerhetivrande datornissarna uppnått precis motsatt effekt. En normalperson kan inte komma ihåg alla identiteter och passwords till olika mailsystem, webbsidor man är på, o.s.v. alltså måste man skriva upp vilken identitet och password man har vilket system. Slutsatsen av detta är att den lilla lappen med alla identiteter och passwords egentligen är en större säkerhetsrisk än att ha enkla, självvalda password som man inte behöver byta. Vet man att ett visst password är kritiskt och det enda man behöver komma ihåg, kommer man ihåg det och ej heller skriver man upp det.

Det finns tre säkerhetsnivåer som är:
1. Något man har, t.ex. passerkort,
2. Något man vet, t.ex. en identitet och password,
3. Något man är, fingeravtryck eller regnbågshinnans färg och utformning.

Sedan kan man kombinera dessa tre på valfritt sätt för att uppnå högre säkerhet.
Men, genom att ha många identiteter och komplicerade passwords och tvinga användarna att byta dessa med viss frekvens uppnår man ingenting. Tvärtom, man tvingar bara ner användarna från säkerhetsnivå två till nivå ett.
Man kan ju givetvis som det beskrivs i artikeln, i DN, http://www.dn.se/nyheter/sverige/skrapinfo-fran-barndomen-bra-losen-1.827518, snacka om skräpinformation från barndomen m.m., men problemet kvartsår och ger bara en temporär lösning. Dels p.g.a. att källan är relativt uttömlig, och vidare är det ju så att ju längre tillbaka vi pratar om desto sämre minne har man.

Lösning är egentligen enkel; till FRA’s fasa. Det är kryptering med öppen nyckel. Med en sådan nyckel envägskrypterar man informationen och ingen annan än mottagaren kan läsa den. På 70-talet kom tre herrar i USA på hur detta ska fungera, och med en enkel och basal algoritm uppnår man en mycket hög säkerhetsnivå. För att förklara det enkelt, kan man säga att jag ger dig ett tal, 36, vilket du ska använda när du krypterar meddelanden till mig. Sagt och krypterat. Då blir jag den enda som kan dekryptera meddelandet, eftersom jag är den enda som vet varför just 36 är talet och hur jag kommit fram till just det talet. Är det 6 x 6, 36 x 1, 12 x 3, eller 1+1+1+1+1+…=36 eller kanske 5+11+1+1+2+16.
Mjukvaran finns idag tillgänglig på nätet och heter RSA (efter Rivet, Shamir och Aldeman), som kom på algoritmen. En annan släppte den fritt på nätet och den heter då PGP (Pretty Good Privacy).

Så släng lappen under musmattan, kryptera istället!

2 kommentarer:

alh sa...

"RSA" är inget program, utan en algoritm. "PGP" däremot är ett program, som bygger på en RSA-liknande algoritm.

Det är ju dock en extrem förenkling att public key encryption plötsligt skulle lösa alla säkerhetsproblem.

Det du (som så många andra) glömmer är nyckelhanteringen.
Din hemliga nyckel du har liggande på din hårddisk är av säkerhetsnivå 1, "något du har"...

För att skydda den behöver du ytterligare säkerhet, och du är i princip tillbaka på ruta 1.

Du kan heller inte använda (bara) RSA för att verifiera din identitet vid tex inloggning. För det krävs extra tillägg, och en "trusted third party" (för att skydda mot avlyssning och modifiering av meddelanden)

Det är dock helt klart en liten pusselbit som krävs i det stora pusslet för att skapa säkerhet.

Men som alltid måste man väga komplexiteten mot nyttan.

Mikael sa...

Tack för din kommentar

Jäpp, RSA är en algoritm, och det är klart att den är kraftigt förenklad, men inte så många har pejling på hur det funkar.
Nävisst skulle det inte lösa alla säkerhetsproblem, men som det funkar nu, är det t.ex. en smal sak för en städare på ett större företag att komma åt en massa passwords eftersom det krävs så många, komplexitet och byten. Alla system är måna om "sin" säkerhet, men mängden system gör att en vanlig användare tvingas skriva lappar.

Javisst blir det "nivå 1" om man sparar passwordet i datorn, men man kan kombinera det genom något annat i nivå 1, eller ev. nivå 3, så får man en mycket bättre säkerhet. T.ex. ett chippat ID-kort eller en fingerläsare.

Men hela grejen är att man måste hitta ett övergripande system, eftersom dagens id och passwordsflora har sänkt den totala säkerheten.