Lösenord är det vanligaste sättet att ”öppna datorn” och komma åt de saker som var och en av oss har rättighet att använda. Vem som använder lösenord och hur lösenorden används skiljer sig åt. Inte minst skiljer sig effekterna och konsekvenserna när något händer.
Varför används lösenord?
Varför har vi lås på dörrar, bilar etc?
Lösenord är samma sak men skyddar alltså mot obehörig användning och inte minst den information som förvaras i en dator/ett datorsystem.
I organisationer talar man ofta om behörigheter dvs vem ska ha tillgång till en viss information eller få lov att göra något som att attestera löneutbetalningen etc. Att någon som har rätt att besluta om utbetalningen knappar in sitt lösenord är alltså ofta det som gör att du får din lön. Ur din, och organisationens synvinkel, är det följaktligen viktigt att lösenordet skyddar det som behöver skyddas. Vilket så länge man använder enbart lösenord faktiskt inte är helt enkelt…
Vilka använder lösenord?
- användare av en datorresurs som inte vill bli besvärade med att knappa in ett lösenord ofta hemanvändare eller chefer (som har tillräckligt mycket att säga till om för att få som de vill) använder INTE lösenord. De borde använda lösenord men gör det alltså inte… 😉
- vanliga användare som frivilligt använder lösenord, ofta hemanvändare
- vanliga användare styrda av lösenordspolicy, frivilligt eller ofrivilligt, dvs normalt medarbetare i en organisation.
- priviligierade användare som har mindre eller större tillgång till datorresurser. T.ex. personer som kan dela ut lösenord till t.ex. användare eller elever, starta backup, administrera skrivare. De kan dock inte göra mer än det de har behörighet till.
- systemadministratörer som har fullständig tillgång till allt. De har tillgång till allt och kan göra precis vad som helst med de datorresurser som de ansvarar för. Det gäller alltså att de går att lita på.
Vad är ett bra lösenord/hur ska jag välja lösenord?
Det korta svaret, och roligaste, men inte desto mindre korrekta…!
XKCD Password Strength: http://xkcd.com/936/
Det omständliga (?) svaret.
Det finns en hel del hjälpmedel för att knäcka lösenord
som gör att ett för kort lösenord, oavsett komplexitet dvs oavsett antal stora och små bokstäver, siffror, specialtecken etc är ganska enkelt knäckbart. Ett bra lösenord bör alltså vara minst 16 – 17 tecken långt. Dock kan du i så fall lika gärna följa XKCDs råd och använda vanliga icke sammanhängande ord eftersom längden och inte komplexiteten är den viktigaste faktorn.
*****
Someone has completed the task of generating ’rainbow tables’ for every
Microsoft password combination up to 14 characters in length. It’s a 64 Gb
download, but it is publicly available. For sysadmin and any other password
with privileges, I regard anything less than 15 characters that uses the MS
password hashing algorithm as broken. Eight characters is not long, not any
more.
*****
?muffins-Lägg till tabell som visar senaste nytt om knäckningshastighet
Det verkar som att du anser att lösenord innebär strul?
Ja, faktiskt gör jag det. Och med viss rätta som jag ska försöka förklara. Däremot tror jag inte att vi kommer att kunna slippa lösenord på länge. Följaktligen bör vi försöka göra det bästa möjliga under tiden.
Vilka olika strul/potentiella strul finns det?
Bl.a.
- vilket lösenord var det jag hade nu igen…? Dvs användare glömmer bort sina lösenord och behöver hjälp med detta.
- lösenord används inte trots att det skulle behövas.
- speciellt i organisationer där flera systemadministratörer samarbetar med att hantera systemresurser delas samma lösenord. Lösenordet brukar också ofta vara ganska enkelt att komma ihåg. Vilket är milt uttryckt farligt eftersom systemadministratören kan göra
- för enkla och/eller förutsägbara lösenord används
- ?muffins