2020 er ikke forbi endnu, men vi kender allerede dine yndlingsadgangskoder

Ligesom hvert sidste år afsluttede informationssikkerhedsfællesskabet sin slutning af året evaluering af adgangskodepraksis og brugervaner. Desværre er oversigten for 2020 ikke særlig opmuntrende.

Der er en stor mængde rådgivning på Internettet vedrørende adgangskodesikkerhed. Vores egne artikler behandler emnet meget ofte. Det ser imidlertid ud til, at folk er særligt stædige, når det kommer til adgangskoder og simpelthen nægter at lytte og lære.

Tro det eller ej, "123456" er stadig den mest almindelige adgangskode blandt de personer, der blev spurgt i adgangskodesikkerhedsundersøgelsen. Sikkerhedsforskere offentliggør normalt en metrik, der beskriver den estimerede adgangskodestyrke - "tid til brute-force", der refererer til, hvor længe en hacker eller en gruppe dårlige aktører har brug for at knække et bestemt kodeord. Denne måling er ikke engang anvendelig, når det kommer til adgangskoder som "123456", da adgangskoden er så overbrugt, let at gætte og indlysende.

Det andet sted i adgangskodens hall hall er forbeholdt "123456789". Det ser ud til, at folk stadig på en eller anden måde tror, at strengning af flere fortløbende numre efter hinanden gør deres adgangskode mere sikker. Dette er simpelthen ikke tilfældet og har aldrig været det.

Andre langvarige hall of shame klassiske adgangskodestrenge som ordet "adgangskode" kommer stadig op i top 10 mest anvendte adgangskoder i år 2020. Den eneste adgangskode på top 10-listen, der ikke kan antages af en brutal kraft script i løbet af få sekunder er "picture1". Desværre er det et par timer, hvor det tager en almindelig hjemmecomputer at tvinge en adgangskode som "picture1", hvilket stadig betyder, at adgangskoden langtfra er sikker.

Det ser ud til, at folk næsten griber nogle af principperne for gode adgangskoder, men implementerer dem aldrig rigtig godt, som det skin-fisted forsøg på at blande bogstaver og tal i strengen.

Hvad er forskellen mellem et andet og flere århundreder?

For at give en slags perspektiv på adgangskodestyrke kom vi med en testadgangskode, der bruger en sammenblanding af to usædvanlige ord, hvilket resulterede i en streng, der ikke findes i en ordbog, med flere symboler og tal kastet i blandingen og løb den resulterende streng på 18 tegn gennem en adgangskontrolstyrke. Resultatet var, at det ville anslå hundreder og hundreder af år at brute-force denne streng, selv når man bruger et stort computernetværk, hvilket gør den effektivt uknuselig.

Det kræver ikke altid en streng med 20 symboler for at have en sikker adgangskode, det kræver bare at blande bogstaver, symboler og tal i god målestok og aldrig bruge enkle ord, som du kan finde i ordbogen, som de fleste brute-force-manuskripter stoler på massive ordboksdatabaser til at knække adgangskoder.