/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikkerhed på netbank
Fra : junkfree@gmail.com


Dato : 24-06-07 19:45

Min netbank bruger case-insensitive password til logon og signering af
transaktioner.

Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?


 
 
Klaus Ellegaard (24-06-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 24-06-07 21:22

junkfree@gmail.com writes:

>Min netbank bruger case-insensitive password til logon og signering af
>transaktioner.

>Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?

Det er sjældent nok at se på en enkelt parameter, når man laver
sin risikovurdering. Et eksempel:

Hvis passwords på den måde bliver tilstrækkeligt svære at huske,
vil folk måske begynde at skrive dem ned. Ergo vil sikkerheden
blive væsentligt forringet af at bruge case sensitive passwords.

Mvh.
   Klaus.

Michael Zedeler (24-06-2007)
Kommentar
Fra : Michael Zedeler


Dato : 24-06-07 22:47

junkfree@gmail.com wrote:
> Min netbank bruger case-insensitive password til logon og signering af
> transaktioner.
>
> Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?

Man smider kun en bit væk pr. tegn, så et password på 5 tegn hvor man
skelner imellem store og små bogstaver er i gennemsnit ikke mere sikkert
end et på 6 tegn hvor man ikke skelner (ditto 10 og 12 tegn og så
fremdeles).

Mvh. Michael.

Jakob Bøhm (26-06-2007)
Kommentar
Fra : Jakob Bøhm


Dato : 26-06-07 13:28

Michael Zedeler wrote:
> junkfree@gmail.com wrote:
>> Min netbank bruger case-insensitive password til logon og signering af
>> transaktioner.
>>
>> Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?
>
> Man smider kun en bit væk pr. tegn, så et password på 5 tegn hvor man
> skelner imellem store og små bogstaver er i gennemsnit ikke mere sikkert
> end et på 6 tegn hvor man ikke skelner (ditto 10 og 12 tegn og så
> fremdeles).
>
> Mvh. Michael.

Det der virkelig tæller er brøken

Antal sandsynlige password / max antal fejlgæt pr. døgn.

Eks. 1: Password er et 4-cifret tal, alle tal lige sandsynlige, adgang
spærres permanent (folk skal have nyt kort og ny kode) efter 3 gale
forsøg i træk, den ægte bruger indtaster det rigtige password i snit en
gang pr. dag (hvorved tælleren nulstilles hvis den ikke er nået til 3)

10000 / 2 forsøg pr. døgn = det tager 5000 dage at prøve alle pinkoder.

Eks. 2: Password er et selvvalgt ord på op til 10 tegn, de fleste
brugere vil vælge ord der står i retskrivningsordbogen. Systemet låses
i 5 minutter efter hvert forkert forsøg, derefter kan man bare prøve igen.

ca. 100000 / 288 forsøg pr. døgn = det tager 348 dage at prøve alle ord

Eks. 1 er 12 gange så sikkert som Eks. 2 selvom eks. 2 har 10 gange så
mange sandsynlige password (og ekstremt mange usandsynlige password).


--
Jakob Bøhm, M.Sc.Eng. * jb@danware.dk * direct tel:+45-45-90-25-33
Danware Data A/S * Bregnerodvej 127 * DK-3460 Birkerod * DENMARK
http://www.netop.com * tel:+45-45-90-25-25 * fax tel:+45-45-90-25-26
Information in this mail is hasty, not binding and may not be right

junkfree@gmail.com (26-06-2007)
Kommentar
Fra : junkfree@gmail.com


Dato : 26-06-07 12:23

Hvis der ikke er tvungen brug af både lower og upper-case i password-
politikken ændrer det intet på huskbarheden ved at gøre det case-
sensitive.

Bliver det også nemmere at huske et kodeord hvis man forbyder brugen
af q, w, e, r, t, y og tallet 4?

On Jun 24, 10:22 pm, Klaus Ellegaard <klausellega...@msn.com> wrote:
> junkf...@gmail.com writes:
> >Min netbank bruger case-insensitive password til logon og signering af
> >transaktioner.
> >Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?
>
> Det er sjældent nok at se på en enkelt parameter, når man laver
> sin risikovurdering. Et eksempel:
>
> Hvis passwords på den måde bliver tilstrækkeligt svære at huske,
> vil folk måske begynde at skrive dem ned. Ergo vil sikkerheden
> blive væsentligt forringet af at bruge case sensitive passwords.
>
> Mvh.
> Klaus.



Peter Brodersen (26-06-2007)
Kommentar
Fra : Peter Brodersen


Dato : 26-06-07 23:21

On Tue, 26 Jun 2007 11:22:51 -0000, junkfree@gmail.com wrote:

>Bliver det også nemmere at huske et kodeord hvis man forbyder brugen
>af q, w, e, r, t, y og tallet 4?

Med passende tjek på antallet af førsøg ville jeg ikke være bekymret
ved at generere kodeord, hvor en håndfuld bogstaver, som kunne læses
forkert, var fjernet.

--
- Peter Brodersen
Kendt fra Internet

junkfree@gmail.com (26-06-2007)
Kommentar
Fra : junkfree@gmail.com


Dato : 26-06-07 12:25

Ja, det er korrekt. Men hvad er det et argument for?

Er et 6 bogstavers ikke-case-sensitive kodeord nemmere at huske en et
på 5 der er case-sensitive?



On Jun 24, 11:47 pm, Michael Zedeler <mich...@zedeler.dk> wrote:
> junkf...@gmail.com wrote:
> > Min netbank bruger case-insensitive password til logon og signering af
> > transaktioner.
>
> > Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?
>
> Man smider kun en bit væk pr. tegn, så et password på 5 tegn hvor man
> skelner imellem store og små bogstaver er i gennemsnit ikke mere sikkert
> end et på 6 tegn hvor man ikke skelner (ditto 10 og 12 tegn og så
> fremdeles).
>
> Mvh. Michael.



Michael Zedeler (26-06-2007)
Kommentar
Fra : Michael Zedeler


Dato : 26-06-07 23:48

junkfree@gmail.com wrote:
> Ja, det er korrekt. Men hvad er det et argument for?

Det er et argument for at sikkerheden ikke er væsentligt forringet af at
behandle store og små bogstaver ens. Var det ikke det, du ville vide?

> Er et 6 bogstavers ikke-case-sensitive kodeord nemmere at huske en et
> på 5 der er case-sensitive?

Jeg tror at visse brugere vil lave færre fejl, når de skal taste det
ind. Dermed kan man (som Jakob hentyder til) reducere systemets
tolerance overfor fejlindtastninger, hvilket øger sikkerheden.

Mvh. Michael.

Jørn Andersen (26-06-2007)
Kommentar
Fra : Jørn Andersen


Dato : 26-06-07 12:54

On Sun, 24 Jun 2007 11:44:41 -0700, junkfree@gmail.com wrote:

>Min netbank bruger case-insensitive password til logon og signering af
>transaktioner.
>
>Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?

Som Klaus skriver, er det ikke nok at kigge på en enkelt parameter.
Det der giver en ret høj grad af sikkerhed er kombinationen af nøgle og
password. Selve passwordets konstruktion er af mindre betydning.


Mvh. Jørn

--
Jørn Andersen,
Brønshøj

Søg
Reklame
Statistik
Spørgsmål : 177579
Tips : 31968
Nyheder : 719565
Indlæg : 6409074
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste