I 1932 kom brugte Marx Brothers kodeordet “swordfish” i en film og lige siden har det været en løbende vits at genbruge det.
… eller også er det bare et dokumentarisk strejf, for at give værket sandsynlighed.
Et password skal idag have en entropi nord for 128 bits og det vil i store træk sige en kombination af mindst 128 tegn, hvis der er nogen form for mening deri, og naturligvis må du ikke bruge det samme password flere steder.
Lad os lige prøve at se hvad det indebærer:
Et godt password således ud: “Visiten kun med Complimenter. Men vi maa ind og see til, at vi kand faae noget Mad; thi Tiden gaaer hastig, Klokken 8te skal vi paa Mascaraden igien. “
– inklusive tegnsætning, stavning og spaciering.
Held og lykke med at huske det, hvis du ikke er udgået fra d.Kgl Teaters elevskole.
(Hvis man bedes om at indgive et “password hint”, ville “Tonny Landy” være et godt valg.)
I gamle dage lærte man salmevers i skolen, men bortset fra skuespillere, professionelle sangere og nogle få kirkeligt entusiatiske, kan nutidige danskere sjældent huske alle vers korrekt i andre sange end “I dag er det ____’s fødselsdag…” og selv i den kniber det ofte.
Med andre ord: Passwords som sikkerhedsforanstaltning er ikke bedre end en almindelig godt slidt cylinderlås: Det viser at man ikke ønsker at alle og enhver tramper ind, men alle der vil ind, kan komme det uden større besvær.
At store firmaer så heller ikke kan finde ud af at håndtere passwords er ikke noget nyt: Sidste år var det LinkedIn, i år er det Adobe og så er der alle dem vi ikke har hørt om, inklusive alle de passwords og password-filer NSA har opsnappet.
Jeg har brugt en times tid på at kigge i Adobes lækkede data og det er deprimerende læsning.
Selvfølgelig er det forkert og i strid med gældene sikkerhedspolitik og alt muligt andet papirarbejde når politifolk eller andre ikke er gode nok med deres passwords.
Men problemet er altså ikke menneskene, men passwordene.
Der er ikke nogen indlysende erstatning for passwords på vej, alle former for biometri der er foreslået er kun marginalt mere sikre og alle lider de af den ulempe at kidnapning og mord bliver mere relevante teknikker for kriminelle.
Den umiddelbart foreliggende løsning, er at udstyre menneskene med en “salmevers-o-matic” dims, som kan lave og huske nogle komplicerede passwords.
En app på en mobiltelefon ville være oplagt: Plug telefonen i USB, lade den simulere keyboard og indtast så “adobe” i app’ens søgefunktion og tryk “send password”.
Desværre er mobiltelefoner en totalt ubrugelig platform for sikkerhed og at plugge sin mobil ind i USB porten på en computer med noget der skal gemmes for NSA, er det samme som at Gøre døren høj og porten vid for dem.
Ikke at den gennemsnitlige PC er meget bedre nu om dage, specielt ikke “enterprise” orienterede maskiner, der oftest leveres med alle mulige bagdøre enablet i BIOS’en.
“For at gøre det nemt for IT afdelingen.”
(Og. naturligvis, andre venner & bekendte af producenten.)
En af grundene til at RaspBerry Pi er blevet så stor en success, er at rigtig mange med forstand på sikkerhed øjner den som en computerplatform man kan stole på.
Der ikke er nogen “BIOS”, ikke noget præinstalleret spyware, skodware eller monopolware.
Det er en computer hvor man helt selv bestemmer hvad software der skal køre og endnu mere vigtigt: Hvad software der ikke skal køre.
Indtil nogen bygger en open-source “salmevers-o-matic” på en sådan platform, må vi klare os som bedst vi kan.
Jeg laver mine passwords med ‘strings -16 < /dev/random’ nu om dage og gemmer dem i en PGP krypteret fil, beskyttet af en pass-phrase, som dermed er den kurv jeg har lagt alle mine æg i.
Ikke nogen god løsning, men den mindst ringe jeg har kunnet implementere.
phk
