Sæson 1 - Episode 04

Password-allergi: Er du og dine kollegaer ramt?

Mange er ramt af password-allergi. Vi bliver udmattede hver gang, vi skal lave et nyt stærkt, komplekst og unikt password – for vi kan jo ikke huske dem alle. Men hvad er rent faktisk op og ned, når det kommer til passwords?

Rasmus og Fredrik diskuterer i denne episode, hvorfor stærke passwords er vigtige, og hvad man bør kræve eller ikke kræve af medarbejdere, således at man kan undgå password-allergi og opnå en god password-kultur.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Vil du have besked når der kommer et nyt afsnit?


Har du spørgsmål, kommentarer eller idéer til podcasten?
Skriv til os på: info@cyberpilot.dk

Har du ikke mulighed for at lytte til podcasten - så læs med.

Her har du en transkriberet version af episoden, så du kan se, hvad der præcist blev sagt, og finde kilder, hvis sådanne er blevet nævnt.

00:07 Anders: Velkommen til IT-sikkerhed med CyberPilot. Værterne er Rasmus Vinge og Fredrik Nielsen. De vil diskutere og komme med løsningsforslag indenfor IT-sikkerhed og GDPR, hvor Rasmus, som IT-sikkerhedskonsulent har fokus på det faglige, det tekniske og compliance-delen, mens Fredrik, som ansvarlig for awareness-træningen her hos CyberPilot, har fokus på hvordan viden bedst formidles og kommunikeres ud i organisationer. Ingen salg og ingen snak om statssponsorerede kinesiske hackere. Målet er, at hjælpe dig som lytter med at skabe en god IT-sikkerhedskultur i din organisation. 

00:48 Rasmus: Hej Fredrik!

00:48 Fredrik: Hej Rasmus!

00:50 Rasmus: I dag der skal vi jo prøve at snakke omkring passwords. Og hvis vi skulle prøve at starte med at fortælle hvorfor passwords her anno 2019 stadigvæk er et emne, der er værd at snakke om. 

01:01 Fredrik: Ja, fordi passwords har jo været med os siden internettets fremkomst, så det er jo den klassiske måde at autentificere nogen på online og den bruger vi bare stadigvæk, selvom vi tænker vi på mange måder er rykket videre fra gamle tider. Så alle har dem, og vi har mange af dem, og de er svære at huske.

01:21 Rasmus: Ja, og vi opretter os på alle mulige forskellige tjenester; privat, arbejde, hvor det stadigvæk bare er den helt basale autentificeringsmodel, nemlig bare et brugernavn og et password og oftest betyder det jo sådan set bare en e-mail og et password. 

01:36 Fredrik: Ja, og så er der jo den her konflikt omkring, at vi ved jo nok allesammen godt, at vi skal gøre os umage for at sørge for ikke at bruge det samme password, og vi skal lave gode lange passwords. Men det svære er bare, at når man sidder i situationen, så er men tilbøjelig til at gøre noget andet, simpelthen fordi den menneskelige hjerne ikke trives med at huske 20-cifre lange unikke svære kodeord. 

01:58 Rasmus: Så det er stadigvæk en stor problemstilling omkring især det her med genbrug. 

02:02 Fredrik: Ja, det er det. 

02:03 Rasmus: Og så kan man jo sige, at den her afhængighed af passwords og brug af passwords, det gør jo, at passwords jo bliver super interessante for IT-kriminelle. Og der er sådan set to forskellige måder hvorpå, de får tilegnet sig dit password eller et password. Den første løsning den kender vi; det er phishing-angrebet, det er brugerne. 

02:27 Fredrik: Det er jo det her med, at man på en eller anden måde bliver foranledigt til at inputte sine oplysninger det forkerte sted, nemlig i armene på nogle kriminelle. Som så kan se, at nå, det er jo tydeligvis dine oplysninger til dine e-mail, og med dem i hånden så kan den kriminelle jo overtage e-mailen, og eftersom at vores e-mail jo også er det sted, hvor vi får nulstillinger på alle vores passwords og konti til forskellige steder rundt på nettet, så kan man sige, at en persons mail-konto er jo hjertet ift. at kunne tage kontrol over alle andre konti. 

03:03 Rasmus: Yes, så man kan sige, e-mail og password er typisk noget de her phishing-mails virkelig sigter efter. Får dig til at logge ind et eller andet sted, hvor du tror, at du logger ind på Apple, Facebook eller LinkedIn og reelt set logger du ind et sted, hvor der bare er en front sat op, for at opsnappe dit password. 

03:21 Fredrik: Ja, en falsk facade. 

03:22 Rasmus: Yes, og så den anden del, det er jo den her, som man måske ikke snakker ligeså meget omkring, det er jo det her faktum, at der er jo en masse datalæk. Kendte databaser og kendte services, som får hacket deres brugerdatabase, og så tænker man jo så lidt, jamen hvorfor er det så et problem. 

03:39 Fredrik: Jamen, det er det jo fordi, folk genbruger passwords. Og det ved vi jo igen pga. den her menneskelige faktor. Man har ikke lyst til at prøve at huske på en helt masse forskellige kodeord, man har en tendens til at vælge det samme. Om det så er, at man elsker den her frugt, og at man bruger det navn på den frugt hele tiden og så igen, så kan man sige, at hvis vi bruger den alle steder, så kommer vi til både at bruge den meget sikre steder med sikre databaser, men også usikre databaser. Det kunne være badmintonklubbens login, hvor det er, at man bruger det samme password, som man bruger til sin arbejdsmail. Og hvis den database ved badmintonklubben bliver hacket og lagt ned, hvilket nogen let kan, så har man lige pludselig adgang til en masse passwords. Med det i hånden så vil de kriminelle også forsøge at se, du har tydeligvis den her e-mail og du har brugt det her password, skulle jeg ikke lige prøve at se om jeg kunne logge ind med det. Og det vil de have success med i en vis rate af folk, som har det samme. 

04:34 Rasmus: Der er faktisk nogle statistikker der viser, at det er nummer 1 måde, som systemer bliver hacket på. Det er decideret ved, at hackere de tager nogen brugernavn, e-mail og password fra en lækket database, og simpelthen bare prøver at logge ind. Det er virkelig den digitale version af at finde et bundt nøgler og så prøver jeg bare nogle låse. 

04:56 Fredrik: Så går jeg lige byen rundt og ser, hvor jeg kan komme ind. 

04:58 Rasmus: Og fordi det er IT, så kan man gøre det i stor skala, og så er der altså bare nogle nøgler der passer. Og vupti, så er man indenfor. 

05:04 Fredrik: Og præcis det kan man sige, at hvis vi nu forestiller os badmintonklubben her, så er det jo ikke engang sikkert, at de har opdaget at det er sket. Og lige pludselig så ved du ikke, hvorfor at din konto er blevet lagt ned, og hvordan kunne det nogensinde være sket. Jamen, det er sket lige så stille og roligt, og ingen har egenligt opdaget det før skaden er sket. 

05:19 Rasmus: Ja, det er sådan lidt, hvorfor det er vigtigt. Så kan man jo sige, at vi støder jo på de her helt fejlagtige opfattelser stadigvæk omkring passwords. Og en ting er det her med, hvad det er der udgør et stærkt password. Ja, og der har man jo sådan en tendens til, at igen når den menneskelige hjerne slår til, så tænker man, at man forestiller sig, at nogen sådan vil sidde og prøve at gætte det, og der tænker man jo, at jo flere særlige tegn og unikke cifre jeg aldrig ellers bruger i min hverdag, jo sværere vil det bliver for nogen at gætte det.

05:49 Rasmus: Ja og bare generelt jo mere kryptisk ik’. Foxtrot alfa beta. 

05:54 Fredrik: Og det er jo netop pointen. Der er meget få tilfælde, hvor der faktisk er nogen der sidder og gætter. Det er jo altid en maskine, der sidder og prøver at brute-force igennem, hvis det endelig er, at man prøver at knække et kodeord på den måde. Og de er fuldstændig ligeglade med om det er et almindeligt s eller et helt særligt unikt egyptisk tegn du har gang i. Selvfølgelig er der noget med, at der er en vis ciffer – Altså man kan godt udvide med at bruge forskellige cifre, og det kan også godt styrke kodeordet for det stiller jo krav til dem der forsøger at knække det, men omvendt set er det bare cifre. Og det eneste der faktisk virkelig batter noget, det er længden på et password. Og det glemmer man let, fordi lange passwords også er svære at huske. 

06:31 Rasmus: Så er der også den klassiske, som man jo også som IT-mand prøver at trække ned over sine brugere, den her password-politik, altså det her med at ændre den. Men der ved vi jo også, at hvad er det der sker, hvis man hele tiden beder sine brugere om at ændre hver tredje måned eller hver sjette måned. 

06:46 Fredrik: Ja, så fortæller man dem jo, at det password du allerede nu har brugt tre måneder på at få ind i fingrene og ind på hjernebarken, det kan du lige glemme igen for nu skal du have et nyt. Og det der så sker, det er jo, at man hurtigt finder ud af, at hvis man laver meget avancerede passwords, så får man et problem i sin hverdag, så man bliver tilbøjelig til at prøve at lave nogle meget lette password. Et godt eksempel er jo det der med at så bliver det “Sommer18”, “Sommer19”, “Sommer20”, “Sommer21”. Så det bliver bare det samme password i en ny afskygning, og det gør det også bare lettere at knække. Så man har i virkeligheden skudt sig selv i foden, ved at tvinge sine medarbejdere til at gå lidt den lette vej ved at lave nogle lethuskelige passwords. 

07:24 Rasmus: Ja, det er jo sådan lidt et eksempel på, at man har en eller anden hensigt om, at sige vi skal gøre det her og lave en super sikker passwordpolitik og vi stiller jo nogle vilde krav til folk. Men den menneskelige adfærd, den menneskelige hjerne, den finder bare lige en let måde at hoppe over det der på. 

07:38 Fredrik: Det gør hjernen – den kan godt lide de lave gærde. 

07:40 Rasmus: Plus, at det er virkelig også en af de steder, hvor du virkelig kan komme til at få noget skæld ud fra brugerne fordi, de står lige pludselige nogle steder og skal have det her byttet ud osv. Det er ihvertfald en fejlagtig opfattelse, at det er noget der gør noget positivt for IT-sikkerheden. 

07:55 Fredrik: Det synes vi ihvertfald, fordi virkeligheden viser, det kan være svært at få dem til at lave komplekse nok passwords. Nu har vi jo også snakket om, at det her også skulle handle om det her med, at man har kodeallergi. Altså det har de fleste mennesker, man får et helt suk indvendigt, når man bliver promptet om sit kodeord et eller andet sted, hvor man har brug for at logge ind, og man kan ikke huske det. 

08:11 Rasmus: Ja, det kribler over det hele. 

08:13 Fredrik: Ja, så må man lave et nyt kodeord, og det kan man helt sikkert heller ikke huske og så får man sådan rutine, hvor for at logge ind på en side, så beder man altid om en nulstilling. 

08:21 Rasmus: Ja, men hvis vi lige skal prøve at runde af med nogle konkrete tiltag og sige, hvad er det så man kan gøre for lidt at komme udover den her password-allergi og for ikke at være eksponeret mod de her risici? Så har vi identificeret tre gode ting, som man kan tage fat i. Den første det er sådan noget to-faktor-autentificering. Det ved vi jo næsten alle sammen hvad er efterhånden, det her hvor man har både noget password og så får man enten en notifikation på mobilen eller osv. Men faktum er bare, at to-faktor-autentificering er bare blevet nemmere og nemmere at arbejde med. Der er nogle services, hvor man ikke nødvendigvis behøver at gøre det hver gang, men at den registrerer PC’en. Så har du i det mindste elimineret risikoen, at der er en helt udefra der prøver at logge på. 

09:04 Fredrik: Det giver et fantastisk lag af sikkerhed ovenpå et almindeligt password, og man kan virkelig nøjes med nogle mindre stærke passwords, hvis man har to-faktor-autentificering. Ikke at man skal nøjes med det, men sikkerheden stiger virkelig med det. Og så er der jo sådan det helt almindelige, hvis man nu ikke har adgang til det, det kan jo godt være, at det er en tjeneste man skal bruge, som ikke tillader, at man kan bruge to-faktor-autentificering. Jamen så er der bare to ting man kan gøre. Det er igen det der med at finde kompromiset med den menneskelige hjerne, hvor hvis du skal huske noget der gerne skal være over 12 cifre og helt 16 eller 20 cifre langt, jamen så er det meget nemmere med en “pass-phrase”. Altså en eller anden sætning, man kan nemlig let huske en sætning på 20 bogstaver, det kunne være, “Jeg elsker egetræsborde”. 

09:41 Rasmus: Ja!

09:43 Fredrik: Kommer jeg til at tænke på, fordi vi sidder ved et. Og det kunne jo være en sætning, som hvis man lærte sig den og vidste, at det var den man skulle lave variationer over, hvor det var at “Jeg elsker egetræsborde”+#et eller andet to cifre fra den tjeneste man logger ind på. Så kan man nøjes med at elske “Jeg elsker egetræsborde” og så ved man bare, at man har lavet en lille variation, som gør, at man har et utroligt langt password, som aldrig er helt det samme. 

10:03 Rasmus: Ja og så har du jo også elimineret den der helt oplagte mulighed ved bare at tage den helt samme, for hvis den nogensinde skulle slippe ud din egetræs-kode, så ville det også bare forhindre nogen i bare at samle den op og prøve at stikke den i nogle forskellige stedet, nogle digitale låse, og så se hvor det er. Fordi så er den ihvertfald begrænset til lige præcis den service. Det var den ene ting og så er der jo den sidste, som også lidt er overfor den IT-ansvarlige. Det er jo det her med, der er nogengange noget dovenskab i at lade være med at oprette personlige brugere, fordi det kan lige være nemmere lige at dele passwordet. 

10:39 Fredrik: Hvad tænker du på for et eksempel?

10:40 Rasmus: Jamen altså, den helt klassiske er det her med, at man har et fælles administrator-login på serverne eller til IT-strukturen. 

10:45 Fredrik: Eller en eller anden tjeneste, som alle benytter, men der er ikke nogen der synes, at de vil købe fire konti til.

10:50 Rasmus: Og det giver jo bare den udfordring, at man bliver nødt til at dele de her oplysninger, og når man gør det, så er det klart, at man mister transparensen omkring hvem der har brugt den på hvilke tidspunkter. Og man løber også ind i den udfordring, at når folk så stopper, hvem havde vi så egentligt givet de her adgange til. Så et godt råd, som nok ikke kommer bag på så mange, det er, opret personlige brugere. Jeg tænker, at vi runder den af her for idag.

11:18 Fredrik: Det synes jeg, at vi skal. 

11:19 Rasmus: Godt. Tak for i dag Fredrik!

11:20 Fredrik: I lige måde!