Søg

Små bogstaver er meget nemmere at huske: Sådan kan en ny politik for sikre adgangskoder se ud

Klumme: Hvordan finder man frem til den bedste politik for adgangskoder, som brugerne bliver glade for? Svært, men ikke umuligt. Mange små bogstaver er svaret.

4. december 2017 kl. 09.45
Artikel top billede
Martin Hansen Martin Hansen Security Architect hos SE

Det er svært at finde frem til den korrekte politik for adgangskoder - altså hvilke krav, brugerne teknisk skal tvinges til at overholde.

Derfor vil jeg gerne dele nogle af de tanker, som jeg har gjort mig i forbindelse med dette - dermed ikke sagt, at jeg giver svaret på den adgangskodepolitik, som I skal implementere hos jer, da der kan være mange situationer, der skal tages stilling til.

Det gælder ikke mindst brugerne, som skal underlægges disse krav.

Et af de primære problemer med adgangskoder er, at brugeren skal kunne huske adgangskoden. Så det spørgsmål, jeg forsøger at svare på, er:

”Hvordan udarbejder vi en adgangskodepolitik, som kan hjælpe brugeren med at huske sin adgangskode og som samtidig hjælper brugeren til at konstruere en stærk adgangskode?”

Ved en stærk adgangskode forstår jeg en kode, som ikke er let for en angriber at cracke.

Baggrund

I denne klumme har jeg taget udgangspunkt i et Windows-miljø, hvor det er lykkedes angriberne at stjæle NTLM-hashes, og som herefter forsøger at cracke disse.

Dette kan enten være ved at stjæle NTDS.dit eller få adgang til hukommelsen på en Windows-maskine. Dette er dog ikke noget, jeg vil beskrive nærmere her.

Hvilken politik?

Når jeg tænker adgangskoder og grader af kompleksitet, handler det ofte om antal små bogstaver, store bogstaver, tal og specieltegn.

Dette giver os cirka 82 (26+26+10+20) forskellige tegn at benytte til at konstruere vores adgangskode

Bemærk, at dette er en grov vurdering. Meningen er ikke at gå ind i en diskussion om at benytte kinesiske tegn og andet.

Jeg vil her forsøge at vise forskellen på den klassiske måde at konstruere adgangskoder og  den nye metode.

Den klassiske metode er at benytte store bogstaver, tal og specialtegn, mens den nye metode fokuserer på at konstruere længere adgangskoder uden kompleksitet samt at øge udløbstiden.

Dette kunne eksempelvis være:

Jeg vil beregne mig frem til hvor mange karakterer, man bør benytte i forhold til den nye metode.

Nedenstående figur viser, hvor mange forskellige adgangskoder man kan opbygge ved at fokusere på kompleksiteten i forhold til store og små bogstaver, tal og specieltegn.

De samlede antal mulige kombinationer ved den klassiske metode udgør 2.044.140.858.654.980 forskellige adgangskoder (82^8).

Den røde cirkel viser det reelle tal, da den klassiske kompleksitet kun kræver tre af de fire ovenstående kategorier, så der er reelt ikke mange, som benytter specialtegn.

Hvor mange karakterer bør vi så sætte kravet til ved den nye metode?

Nedenstående figur viser antallet af mulige forskellige adgangskoder ved kun at benytte små bogstaver.

Hvis der kun benyttes små karakterer, kan vi her se, at der ved 10 karakterer er mulighed for 141.167.095.653.376 forskellige adgangskoder.

Ved 11 karakterer er der mulighed for 3.670.344.486.987.780 forskellige adgangskoder.

Det kan ses af nedenstående figur, at de to ”illustrationer” mødes ved otte karakterer med kompleksitet og 11 karakterer kun små bogstaver.

For så at tilføje det sidste aspekt med udløb, vil det være interessant at se på, hvor lang til det vil tage at cracke en adgangskode.

Udløbstid

Til dette formål konstrueres der maskiner med det enkle formål at cracke adgangskoder, Brutalis er en af disse maskiner.

Læs gerne mere om denne maskine på https://sagitta.pw/hardware/gpu-compute-nodes/brutalis/ ... tag gerne også et kig på prisen.

Den skulle kunne teste 330.000.000.000 NTLM-adgangskode-hashes i sekundet.

Hvis vi kigger på, hvor lang tid denne maskine vil skulle bruge på at lave et brute force-angreb imod ovenstående adgangskodepolitikker, ville det kun tage omkring 1,7 time at bryde den klassiske (8 karakterer) og cirka 3 timer at bryde den nye metode (ved 11 karakterer).

Når vi ser på den klassiske metode med kompleksitet, kan vi af nedenstående graf se, at det tager under et år at cracke en adgangskode på 9 karakterer.

Hvis vi skal op på et år eller mere, skal vi benytte 10 karakterer og helst 11. Dette skyldes, at der stadig er en betydelig risiko for, at en adgangskode vil kunne crackes ved 10 karakterer - dette vil tage 1,32 år.

Nedenstående graf viser i år, hvor lang tid det vil tage at cracke adgangskoder i forhold til den nye metode. Vi vil derfor skulle op på minimum 14 karakterer for at sikre, at det tager mere end et år.

I forhold til ovenstående illustrationer anbefaler jeg, at man vælger en adgangskodelængde på 13 karakterer, hvis man vælger at benytte den klassiske metode

I det tilfælde vil det så tage cirka 730.000 år at cracke en adgangskode, altså en risiko på 0,00003 procent.

Ved den nye metode vil jeg anbefale en adgangskodelængde på 18 karakterer og udløb på 365 dage. Sådan en kode vil tage cirka 3 millioner år at cracke, altså igen en risiko på 0,00003 procent.

Risikoen har jeg beregnet ved at tage udløbstiden og dividere med det antal dage, det tager at cracke en adgangskode. Dette kan man så eventuelt efterfølgende gange op med antallet af brugere.

Så hvis vi vender tilbage til ”problemet”, så er det, at vi mennesker skal kunne huske vores adgangskode.

Jeg vil mene, at vi har en individuel procedure for, hvordan vi gør.

Så hvis vi står imellem valget af de to mulige adgangskodepolitikker i skemaet her, vil jeg anbefale at benytte den nye metode.

Jeg vil påstå, at det er langt lettere at huske en tekststreng bestående af kun små bogstaver frem for en tekststreng bestående af både store og små bogstaver samt tal og specialtegn.

Det skal selvfølgelig nævnes, at en adgangskodepolitik aldrig kan fungere alene.

Det kræver også, at man uddanner brugerne i, hvordan en stærk adgangskode vælges.

Med eksempelvis de 18 karakterer kunne man forstille sig brugere, som vælger en af følgende svage adgangskoder:

”123456789012345678”

”1234567890qwertyui”

”qwertyuiopasdfghjk”

Men det er en snak, som jeg ikke vil dykke ned i her.

Undersøgelse

Jeg har lavet en mindre undersøgelse, hvor jeg har spurgt 80 brugere af it-systemer om, hvilken adgangspolitik de ville synes ville virke bedst for dem.

Nedenstående diagram viser resultatet af undersøgelsen.

66 af de adspurgte brugere foretrækker altså, at man øger længden af adgangskoden, fjerner kompleksitetskravene og øger udløbstiden.

Man kunne jo eventuelt lave en tilsvarende rundspørge hos ens brugere, når man nu alligevel er ude og fortælle dem, hvordan man konstruerer en stærk adgangskode.

Er adgangskoder så brugbare?

Som så mange andre har sagt, mener jeg, at adgangskoder snart er et overstået kapitel.

Det vil ikke være sikkerhedsmæssigt forsvarligt kun at benytte adgangskoder, da de maskiner, som benyttes til at cracke koderne, bliver bedre og bedre.

Man kan jo forestille sig botnets, som kan cracke lange og komplekse adgangskoder på ingen tid.

Som jeg ser det, er den eneste vej frem at benytte andre løsninger som eksempelvis to-faktor-validering.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvaret

    Specialist til udvikling af energistyringssystem

    Nordjylland

    Capgemini Danmark A/S

    Senior SAP S/4HANA Finance Lead / Solution Architect

    Københavnsområdet

    BEC

    Product Owner - Investment Portfolio Management & Reporting

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger sektionschef til effektiv drift af kritiske it-systemer i Hvidovre

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    SAP Excellence Day 2026

    It-løsninger | Nordhavn

    SAP Excellence Day 2026

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    Datacenterstrategi 2026

    Infrastruktur | København

    Datacenterstrategi 2026

    Denne konference bidrager med viden om, hvordan du balancerer cloud, on-premise og hybrid infrastruktur med fokus på kontrol, compliance og forretning.

    Identity Festival 2026 - Aarhus

    Sikkerhed | Aarhus C

    Identity Festival 2026 - Aarhus

    Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    netIP har pr. 1. januar 2026 ansat Jens Horsager Rasmussen som Systemkonsulent ved netIP's kontor i Thisted. Han kommer fra en stilling som Cloud Infrastructure Specialist hos ITM8. Nyt job

    Jens Horsager Rasmussen

    netIP

    Christian Pedersen, emagine Consulting A/S, er pr. 1. februar 2026 udnævnt som Chief AI Officer. Han beskæftiger sig med opkvalificere emagines ansatte, udvikle interne AI-værktøjer og levere AI-projekter for kunderne. Som leder af et nye AI-team skal han også udvikle og lancere AI-produkter til markedet. Udnævnelse

    Christian Pedersen

    emagine Consulting A/S

    Lector ApS har pr. 5. januar 2026 ansat Per Glentvor som Seniorkonsulent i LTS-gruppen. Per skal især beskæftige sig med med videreudvikling af Lectors løsning til automatisering og forenkling af toldprocesser. Per kommer fra en stilling som freelancekonsulent. Per har tidligere beskæftiget sig med løsninger indenfor trading, løsninger til detail, mobil samt logistik. Nyt job

    Per Glentvor

    Lector ApS

    Sourcing IT har pr. 2. februar 2026 ansat Susanne Sønderskov som Salgsdirektør. Hun skal især beskæftige sig med at styrke Sourcing IT’s kommercielle fundament, skalere salgsindsatsen og øge tilstedeværelsen bl.a. hos jyske kunder. Hun kommer fra en stilling som Salgsdirektør hos Right People Group ApS. Hun har tidligere beskæftiget sig med salgsledelse inden for IT-freelanceleverancer og komplekse kundeaftaler, både privat og offentligt. Nyt job

    Susanne Sønderskov

    Sourcing IT

    Se mere fra navnenyt

    Mest læste

    1 Dansk rejseportal ramt af ransomware-angreb: "Jeg fældede da en tåre"
    2 Frigivne Epstein-mails giver dramatisk indblik i kæmpe Microsoft-flop: Advarede om en katastrofal fiasko
    3 Derfor rippes Silicon Valleys butikker for små Macs: Hypet AI-værktøj truer med at gøre det af med apps
    4 Amerikansk ministerium med opsigtsvækkende tiltag: Kræver, at tech-selskaber udleverer oplysninger om kritikere af Trump
    5 Tysk cloud-gigant lover europæisk alternativ til AWS og Microsoft
    6 Danmarks it-forsker nummer et, Jens Myrup, lander nyt job – efter 25 år på samme arbejdsplads
    7 Kinesiske stats-hackere slog til: Open source-værktøj til tekstredigering med millioner af brugere var kapret i et halvt år
    8 Denne browser vil gøre det muligt for dig at afvise AI-funktioner, når du søger på nettet

    Se seneste uge