05 mars 2012

Passord = passord

Svært mange av oss er i dag brukere av et flertall nettsider. Dette inkluderer Facebook, epost, diskusjonsfora, etc. En stor andel av oss finner derfor ut at å benytte forskjellige passord på hver enkelt side fort blir komplisert. Så vi ender opp med å benytte samme passord overalt.

Har du noen gang tenkt på at dersom èn av sidene du er registrert på blir utsatt for innbrudd så vil uvedkommende ha tilgang til hele din nettidentitet?


Elendige passord
21933 passord fra en norsk nettside.
Størrelse etter frekvens.
Og ikke nok med at vi gjerne bruker kun ett passord, vi velger gjerne ett fryktelig dårlig ett, sånn for å være på den (u)sikre siden. Bildet over viser litt av problemet, studier har konkludert med det gang på gang, men det er likevel fasinerende å se det selv. Det er verdt å merke seg at jeg måtte fjerne hundrevis av oppføringer da "passord", "123456" samt nettstedets navn hadde så høy frekvens at det var kun disse ordene man så. 240 av 22000 brukere hadde valgt nettopp "passord" som passord...


Hvordan velge et passord
Dette bildet fra xkcd forklarer passordproblematikken på en ypperlig måte:

 
http://xkcd.com/936/

Oppbevaring av brukerdata
Svært skjelden får du vite noe om rutinene for oppbevaring av brukerdata på nettsteder. Så hvordan kan man vite at informasjonen oppbevares på en tilfredsstillende måte? Jeg har vært innom en del nettsider og publiseringsløsninger, og det er svært mye rart der ute. Det korte og enkle svaret er: ikke stol på noen.

En nettbutikkløsning jeg fant en del feil i røpet flere kritikkverdige forhold.
  • Brukerdata, inkl passord ble lagret i ren tekst.
  • Samtlige nettsider med denne nettbutikkløsningen var å finne i samme database.
  • Hvem som helst kan hente ut informasjon inkl brukernavn og passord.
Denne løsningen er i bruk på flere store norske sider, og her kan altså hvem som helst lese av hele listen med brukernavn, passord, epostadresse, postadresse, ordrehistorikk, etc.

Lagring av passord i ren tekst burde være ulovlig. Datatilsynet,  her har dere en jobb å gjøre. 


MD5 & "krypterte passord"
Heldigvis er det ikke så mange som lagrer passord i ren tekst i dag. Men det er alt for mange som tror de er trygge når disse lagres i MD5-format, noe som er helt bak mål.
MD5 (Message-Digest algorithm 5) er en sjekksumalgoritme og en internettstandard (RFC 1321), som brukes av en mengde forskjellige sikkerhetsapplikasjoner og for å sjekke integriteten til datafiler. MD5-algoritmen lager en 128-bits (16 byte) sjekksum, som vanligvis oppgis som et 32-tegns heksadesimalt tall. Algoritmen ble utviklet av Professor Ronald (Ron) Rivest i 1991. - Wikipedia
I korte trekk kan man si at MD5 fungerer som en kryptering av tekst. Det er viktig å påpeke at det ikke er en kryptering, man kan altså ikke regne seg fra MD5 tilbake til ren tekst.

Passord ren tekst: abc123
passord MD5:       e99a18c428cb38d5f260853678922e03

Her kan man se at passordet ikke lengre er leselig, og mange er derfor fornøyde med dette. Problemet er at MD5 er den mest benyttede "krypterings"-formen av passord i nettløsninger, og derfor også den mest utsatte for angrep. Det finnes derfor store ressurser på nett for å knekke disse.

Forsøk selv:
Kopier MD5 strengen: e99a18c428cb38d5f260853678922e03
Gå til: http://md5decryption.com/
Lim inn strengen og trykk dekrypter.
Voila!
Lagt inn av kl. Ingen kommentarer:
Abonner på: Innlegg (Atom)