211service.com
Lösenord som är enkla – och säkra
Forskare vid Microsoft har kommit på ett sätt att skapa lösenord som är lätta att komma ihåg utan att göra ett system mer sårbart för hackare.
Istället för att upprätthålla komplexa lösenord, som många organisationer gör, ser det nya systemet till att inte fler än ett fåtal användare kan ha samma lösenord, vilket har en liknande övergripande effekt på säkerheten. Ytterligare forskning från Microsoft avslöjar också varför bara vissa organisationer insisterar på mycket komplexa lösenord.
Allt mer komplexa lösenordskrav – regler som lösenord måste vara 14 tecken långa och innehålla minst två versaler, två gemener och tre symboler – gör det svårt för angripare att gissa lösenord med hjälp av en så kallad ordboksattack, vilket innebär att man försöker många tänkbara lösenord i följd.
Utan sådana begränsningar tenderar människor att välja lösenord som är lätta att komma ihåg, lätta att skriva – och lätta att gissa. Till exempel, när 32 miljoner lösenord från den sociala mediewebbplatsen RockYou oavsiktligt släpptes i december förra året, visade sig nästan hälften vara triviala lösenord som på varandra följande siffror, ordbok eller vanliga namn, enligt en analys förra januari av webbsäkerhetsföretaget Imperva .
Att kräva att lösenord inkluderar siffror, symboler och blandade fall ökar avsevärt antalet möjliga lösenord. Med sådana regler blir en ordboksattack omöjlig, men lösenord blir också svårare att komma ihåg.
Ett sätt som systemdesigners försöker besegra ordboksattacker är genom att tillfälligt inaktivera ett konto när ett fel lösenord skickas in mer än ett par gånger. Detta kallas kontolåsning, och inte överraskande har angripare upptäckt ett enkelt sätt att besegra tillvägagångssättet. Istället för att gissa tusentals eller miljontals lösenord för ett enda konto, gissar angripare helt enkelt de vanligaste lösenorden för tusentals, eller till och med miljontals, olika konton.
Det nya schemat från Microsoft Research tar bort komplexitetskraven helt och hållet samtidigt som det skyddar mot både ordboksattacker och statistiska gissningar. Tjänsten räknar helt enkelt hur många gånger någon användare på tjänsten väljer ett givet lösenord. När fler än ett litet antal användare väljer ett lösenord förbjuds lösenordet och ingen annan får välja det. Systemet kan endast användas av organisationer med miljontals användare - webbplatser som Microsofts Hotmail, till exempel.
Tillvägagångssättet beskrivs i ett papper skriven av Microsoft-forskare Stuart Schechter och Cormac Herley , som kommer att publiceras på konferensen Hot Topics in Security i Washington, DC, i augusti. Michael Mitzenmacher vid Harvard University är också medförfattare till tidningen.
Att ersätta regler för skapande av lösenord med popularitetsbegränsningar har potential att öka både säkerhet och användbarhet, skriver författarna. Eftersom inga lösenord tillåts bli för vanliga, berövas angripare de populära lösenorden de behöver för att äventyra en betydande fraktion av konton genom att gissa online.
Men, säger Herley, det finns inga planer på att implementera det nya schemat i några Microsoft-produkter ännu. Vi kan inte spekulera i Microsofts produktplaner, säger han. Just nu lägger vi bara ut det för att få feedback från säkerhetsforskningsgemenskapen.
Under de senaste åren har forskare inom det framväxande området för användbar säkerhet tittat noga på många informationssäkerhetsmetoder och funnit att många av dem saknas. Till exempel kommer många datorsystem att spärra konton om en användare skriver fel lösenord tre gånger i rad. Men för sju år sedan, Sascha Brostoff och Angela Sasse, två forskare från University College London i Storbritannien, visade att det ökade antalet från tre till 10 minskar dramatiskt antalet legitima användare som är utelåsta samtidigt som de endast har en försumbar effekt på systemets övergripande säkerhet.
Förra veckan träffades mer än 200 datasäkerhetsforskare från hela världen i Redmond, WA, vid den årliga Symposium om användbar integritet och säkerhet att diskutera metoder för att göra datorer samtidigt säkrare och mer användbara.
En annan studie av Microsoft-forskare, som presenterades vid symposiet, förklarar varför bara vissa organisationer har alltför komplicerade lösenord. Studien undersökte lösenordspolicyer på 75 olika webbplatser, inklusive de 20 högst rankade webbplatserna på Internet och webbplatser som tillhör banker, stora universitet och amerikanska myndigheter. Microsofts forskare Dinei Florencio och Cormac Herley fann inget samband mellan värdet av en konsuments konto, mängden attacker som webbplatsen utsattes för och komplexiteten i lösenorden som webbplatsoperatörerna tvingade på sina användare.
Enligt studien , webbplatser där användare kan välja mellan flera leverantörer – sajter för banker och värdepappersföretag, till exempel – har i allmänhet relativt enkla lösenordskrav. Dessa webbplatser skyddar sina användares tillgångar genom antibedrägeritekniker, och företagen vill inte göra det för svårt för sina kunder att logga in.
Florencio och Herley fann att de webbplatser som hade de strängaste lösenordskraven var de där användarna i allmänhet inte hade någon möjlighet att shoppa runt – sajter som U.S. Social Security Administration, National Weather Service och webbmailsystemen för flera stora universitet. För dessa system har organisationerna inga ekonomiska incitament att balansera användbarhet med säkerhet, eller att hitta något annat sätt att skydda användarkonton.
De flesta organisationer har säkerhetsexperter som kräver starkare policyer, men bara vissa har krav på användbarhet som är starka nog att trycka tillbaka, tillägger författarna. När rösterna som förespråkar användbarhet saknas eller är svaga, blir säkerhetsåtgärderna onödigt restriktiva.
Simson Garfinkel var med i programkommittén för 2010 års symposium om användbar säkerhet och integritet.