Smaker sjokolade bedre enn passordet ditt?

Informasjon er verdifull. Enten det er av ren nysgjerrighet eller om det er industrispionasje så er det alltid noen som ønsker å lese «utilgjengelig» informasjon om deg eller ditt firma. Kanskje vil de også stikke kjepper i hjula for å ødelegge informasjonen din, eller sette deg i ett dårlig lys. Informasjonstyveri er svært utbredt og vi har så langt bare sett starten innen nettbasert kriminalitet. De tre hovedformene for angrep er uautorisert inntrengning, uautoriserte endring eller ødeleggelse og bruk av ondsinnet kode.


Passordangrep er en av de vanligste metodene for å oppnå tilgang. Hensikten er å finne brukernavn og passord slik at angriperen kan logge inn på ett system eller en tjeneste og benytte brukerens rettigheter. På den måten kan det enkelt gjøres informasjonsuthenting eller de vil bruke din brukerident som plattform for videre angrep. Passordangrep kan for eksempel forgå gjennom passord sniffing, passord gjetting (directory eller brute force), trojansk hest eller tastelogger.Passord sniffing er akkurat slikt det høres ut som. ”Sniffing” på nettverkstrafikk med håp om å kunne avsløre passord sendt mellom maskiner.


Passord gjetting kan gjøres med brute force hvor det prøves flere mulige passordkombinasjoner med for eksempel alle bokstaver fra aa-zz. Brute force kan også gjøres med utgangspunkt i ei liste med typiske passord og ord hvor man prøver om en eller kombinasjoner av flere av ordene kan være valgt som passord av brukeren. Sistnevnte kalles gjerne for ”Directory attack”.


Trojansk hest er ett program som kan se ut til å være nyttig og ufarlig, men samler i virkeligheten inn brukerens passord og tilgjengeliggjør passordene for angriperen.


Tastelogger er en service eller applikasjon som ofte kjører skjult i bakgrunnen i operativsystemet og loggfører brukerens inntastinger. På den måten kan inntastingen av passord loggføres og angriperen kan finne passordet.


Ved siden av de mange metodene for å finne brukernavn og passord florerer det av verktøy med funksjonalitet for å utføre passordangrep eller for innsamling av nettverkstrafikk for sniffing. Heldigvis er det ikke alltid like enkelt å finne passordene. Få moderne systemer og applikasjoner sender passord i klartekst, og de fleste benytter seg for eksempel av hashing-teknologi for å beskytte passordene. Typisk utfører brukerens klient en ”one-way hashing” av passordet som skrives inn og sender resultatet til systemet eller tjenesten som skal autentisere. Godkjenningssystemet har oversikt over brukerens passord-hash, ikke selve passordet, og når systemet mottar passord-hash blir dette sammenlignet med systemets hashingtabell for autentisering.


De fleste organisasjoner eller bedrifter har også gode rutiner og regler for passord og har teknologi som støtter dette. Typiske passord regler kan være passordets kompleksitet, antall tegn og antall tillatte feilforsøk. En utfordring er gjerne å finne balansegangen i kravene for hvor strengt ett passord skal være uten at dette er for vanskelig for brukeren å huske. Komplekse passord i kombinasjon med hyppige passordbytter kan ofte føre til at brukeren for eksempel skriver ned passordet på en huskelapp, noe som er en stor sikkerhetsrisiko.


Flere har også begynt å se på løsninger som for eksempel krever smartkort eller biometri i kombinasjon med passord for autentisering og oppnår på den måten tofaktor-autentisering. Dette er teknologi vi kommer til å se mer av fremover, både til glede og for enkelte en utfordring å innføre.


For å stjele passord er også Sosial Engineering ett stadig voksende problem. Forsøk på å lure personer til å gi ifra seg personlig identitet og passord fungerer skremmende ofte. I Sverige gjorde databladet PC för alla en undersøkelse hvor flere personer ble tilbytt en sjokolade hvis de oppga personlige opplysninger. Så mange som 23 av 34 var villige til å gi ifra seg sitt mest brukte passord (kilde: http://tiny.cc/vALdS). Det viser at bevisstgjøring for brukeren om trusler og innarbeiding av rutiner og regler, samt oppfordring om varsling av hendelser er viktig for å bedre sikkerheten. Dessverre er det slik at mange opplever det som flaut å ”miste” passordet sitt eller kanskje vet de ikke at deres egen brukerident og passord blir missbrukt, og hendelsene blir derfor ikke rapportert.


Så når det gjelder beskyttelse mot passordangrep så er kanskje den største utfordring de ansatte selv – kanskje smaker sjokolade bedre enn passordet ditt?

En kommentar om “Smaker sjokolade bedre enn passordet ditt?”

Legg igjen en kommentar