---

Min netbank bruger case-insensitive password til logon og signering af
transaktioner.

Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?

---

junkfree@gmail.com writes:

>Min netbank bruger case-insensitive password til logon og signering af
>transaktioner.

>Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?

Det er sjældent nok at se på en enkelt parameter, når man laver
sin risikovurdering. Et eksempel:

Hvis passwords på den måde bliver tilstrækkeligt svære at huske,
vil folk måske begynde at skrive dem ned. Ergo vil sikkerheden
blive væsentligt forringet af at bruge case sensitive passwords.

Mvh.
   Klaus.

---

junkfree@gmail.com wrote:
> Min netbank bruger case-insensitive password til logon og signering af
> transaktioner.
>
> Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?

Man smider kun en bit væk pr. tegn, så et password på 5 tegn hvor man
skelner imellem store og små bogstaver er i gennemsnit ikke mere sikkert
end et på 6 tegn hvor man ikke skelner (ditto 10 og 12 tegn og så
fremdeles).

Mvh. Michael.

---

Michael Zedeler wrote:
> junkfree@gmail.com wrote:
>> Min netbank bruger case-insensitive password til logon og signering af
>> transaktioner.
>>
>> Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?
>
> Man smider kun en bit væk pr. tegn, så et password på 5 tegn hvor man
> skelner imellem store og små bogstaver er i gennemsnit ikke mere sikkert
> end et på 6 tegn hvor man ikke skelner (ditto 10 og 12 tegn og så
> fremdeles).
>
> Mvh. Michael.

Det der virkelig tæller er brøken

Antal sandsynlige password / max antal fejlgæt pr. døgn.

Eks. 1: Password er et 4-cifret tal, alle tal lige sandsynlige, adgang
spærres permanent (folk skal have nyt kort og ny kode) efter 3 gale
forsøg i træk, den ægte bruger indtaster det rigtige password i snit en
gang pr. dag (hvorved tælleren nulstilles hvis den ikke er nået til 3)

10000 / 2 forsøg pr. døgn = det tager 5000 dage at prøve alle pinkoder.

Eks. 2: Password er et selvvalgt ord på op til 10 tegn, de fleste
brugere vil vælge ord der står i retskrivningsordbogen. Systemet låses
i 5 minutter efter hvert forkert forsøg, derefter kan man bare prøve igen.

ca. 100000 / 288 forsøg pr. døgn = det tager 348 dage at prøve alle ord

Eks. 1 er 12 gange så sikkert som Eks. 2 selvom eks. 2 har 10 gange så
mange sandsynlige password (og ekstremt mange usandsynlige password).


--
Jakob Bøhm, M.Sc.Eng. * jb@danware.dk * direct tel:+45-45-90-25-33
Danware Data A/S * Bregnerodvej 127 * DK-3460 Birkerod * DENMARK
http://www.netop.com * tel:+45-45-90-25-25 * fax tel:+45-45-90-25-26
Information in this mail is hasty, not binding and may not be right

---

Hvis der ikke er tvungen brug af både lower og upper-case i password-
politikken ændrer det intet på huskbarheden ved at gøre det case-
sensitive.

Bliver det også nemmere at huske et kodeord hvis man forbyder brugen
af q, w, e, r, t, y og tallet 4?

On Jun 24, 10:22 pm, Klaus Ellegaard <klausellega...@msn.com> wrote:
> junkf...@gmail.com writes:
> >Min netbank bruger case-insensitive password til logon og signering af
> >transaktioner.
> >Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?
>
> Det er sjældent nok at se på en enkelt parameter, når man laver
> sin risikovurdering. Et eksempel:
>
> Hvis passwords på den måde bliver tilstrækkeligt svære at huske,
> vil folk måske begynde at skrive dem ned. Ergo vil sikkerheden
> blive væsentligt forringet af at bruge case sensitive passwords.
>
> Mvh.
> Klaus.

---

On Tue, 26 Jun 2007 11:22:51 -0000, junkfree@gmail.com wrote:

>Bliver det også nemmere at huske et kodeord hvis man forbyder brugen
>af q, w, e, r, t, y og tallet 4?

Med passende tjek på antallet af førsøg ville jeg ikke være bekymret
ved at generere kodeord, hvor en håndfuld bogstaver, som kunne læses
forkert, var fjernet.

--
- Peter Brodersen
Kendt fra Internet

---

Ja, det er korrekt. Men hvad er det et argument for?

Er et 6 bogstavers ikke-case-sensitive kodeord nemmere at huske en et
på 5 der er case-sensitive?



On Jun 24, 11:47 pm, Michael Zedeler <mich...@zedeler.dk> wrote:
> junkf...@gmail.com wrote:
> > Min netbank bruger case-insensitive password til logon og signering af
> > transaktioner.
>
> > Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?
>
> Man smider kun en bit væk pr. tegn, så et password på 5 tegn hvor man
> skelner imellem store og små bogstaver er i gennemsnit ikke mere sikkert
> end et på 6 tegn hvor man ikke skelner (ditto 10 og 12 tegn og så
> fremdeles).
>
> Mvh. Michael.

---

junkfree@gmail.com wrote:
> Ja, det er korrekt. Men hvad er det et argument for?

Det er et argument for at sikkerheden ikke er væsentligt forringet af at
behandle store og små bogstaver ens. Var det ikke det, du ville vide?

> Er et 6 bogstavers ikke-case-sensitive kodeord nemmere at huske en et
> på 5 der er case-sensitive?

Jeg tror at visse brugere vil lave færre fejl, når de skal taste det
ind. Dermed kan man (som Jakob hentyder til) reducere systemets
tolerance overfor fejlindtastninger, hvilket øger sikkerheden.

Mvh. Michael.

---

On Sun, 24 Jun 2007 11:44:41 -0700, junkfree@gmail.com wrote:

>Min netbank bruger case-insensitive password til logon og signering af
>transaktioner.
>
>Det virker umiddelbart som en dårlig ide, eller er det mig der er sart?

Som Klaus skriver, er det ikke nok at kigge på en enkelt parameter.
Det der giver en ret høj grad af sikkerhed er kombinationen af nøgle og
password. Selve passwordets konstruktion er af mindre betydning.


Mvh. Jørn

--
Jørn Andersen,
Brønshøj