Mange nettsteder setter kriterier for hvor «sterkt» et passord må være for å få bruke tjenesten deres. Passordstyrke er et mål på hvor lang tid det vil ta for en maskin å gjette passordet ditt gjennom systematisk eller tilfeldig gjetning.
Vanligvis regnes styrken til et passord ut fra antallet tegn i passordet, om det er både store og små bokstaver og om det også er tall og tegn inkludert.
Mange nettsteder har en indikator ved passordfeltet om forteller deg om passordet ditt er svakt, middels eller sterkt.
Ifølge sikkerhetsselskapet Sophos er det imidlertid svært misvisende med slike mål, fordi de fleste forsøk på hacking ikke er slike maskinelle gjetteøvelser. I hvert fall ikke i sin enkleste form.
Derfor er heller ikke passordmålerne til å stole på, mener Sophos.
Smart gjetning
Hvis et nettsted krever åtte tegns lengde, minst en stor bokstav og minst ett tall er det lett for hackerne å mate inn disse kriteriene i sitt hackerverktøy.
- Det finnes en rekke psykologiske faktorer som gjør at de fleste av oss setter inn tegn og store bokstaver på faste plasser. Ved å gjøre kvalifiserte gjetninger av denne typen kan hackere snevre inn antallet mulige passord betydelig, Chester Wisniewski, seniorrådgiver i Sophos i en pressemelding.
Hackere vet hvilke ord folk i ulike land foretrekker. De vet også at det er vanlig å erstatte O med 0, E med 3, I med 1 og T med 7, for eksempel. Og alle slike faktorer er det enkelt å legge inn i et hackerverktøy. Store bokstaver brukes normalt først eller sist i ordene.
Null sekunder
Sophos gjorde nylig et forsøk for å sjekke hvor gode indikatorene er. De valgte ut vilkårlige passord fra en liste over de 10.000 mest brukte passordene i verden. Deretter fikk de fem ulike styrkeindikatorer til å vurdere passordenes styrke.
Indikatorene ga passordene ulike karakterer seg imellom, fra «svakt» til «god». De var svært uenige seg imellom for alle passordene.
Så satte ekspertene opp en helt vanlig laptop med normal ytelse og installerte et lett tilgjengelig hackerverktøy. Samtlige passord ble knekket på mindre enn et sekund.
- Resultatet er nedslående. Styrkeindikatorene er inkonsekvente og alle passordene fra listen over de 10.000 mest brukte passordene ble knekket på mindre enn et sekund. Selv om indikatorene ikke er pålitelige i seg selv, viser undersøkelser at de får brukerne til å velge sterkere passord, så det er en liten trøst, sier Wisniewski.
Les også:
Sim-kortprodusent avdramatiserer hacking
Smarte hus krever smart sikkerhet
- USA kan overvåke flertallet av verdens PC-er
(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.