FortConsult Ydelser PCI Kunder Artikler Presse Job Kontakt os
Oktober 2003 - Fra StayInTouch™ - Fort Consults elektroniske sikkerhedsnyheder
 
Hvad er password cracking?
Password cracking er en aktivitet, hvor du får afprøvet i praksis, om de passwords, I anvender i din virksomhed, er tilstrækkelig sikre. Fort Consult udfører password cracking ved at benytte automatiske cracking-programmer, som målrettes din virksomheds domæneservere. Programmerne hjælper med at identificere det præcise indhold i flest mulige passwords. På den måde finder vi frem til de passwords, der ikke er sat sammen på en tilstrækkelig avanceret måde til at forhindre uvedkommende i at knække dem og derved få adgang til din virksomheds IT-systemer.
 
Hvad viser resultaterne?
En password cracking-rapport gør det meget synligt, hvis der er behov for at forbedre sikkerheden i passwords. Fx fremgår det af rapporten, hvor mange af brugernes passwords der er blevet cracket ud af totalen - fx ved at have ladet værktøjet arbejde i tre dage. Det fremgår også, hvor mange af passwordene, der er blev cracket i løbet af henholdsvis to minutter, fra to til 60 minutter, fra 60 minutter til en dag og fra en til tre dage. Herudover kan man se, hvordan de identificerede passwords er sammensat. Hvor mange er fx identiske med brugernavnet, hvor mange er lig "password", hvor mange er ord, der kan findes i en ordbog og hvor mange er optimale - det vil sige sammensat af tal, bogstaver og specielle karakterer?
 
Hvorfor er det en god idé at lave password cracking?
Password cracking giver et aktuelt billede af, hvor sikre passwords er i en virksomhed. Aktiviteten og de fundne resultater skaber basis for at drøfte med medarbejderne, hvad der kan gøres for at øge sikkerheden og etablere nogle klare retningslinjer for konstruktion og brug af passwords.

Hvis man dokumenterer, at sikkerheden ikke er god nok i praksis, er det nemmere at overbevise medarbejderne om, at de skal følge nogle nye regler. Password cracking betragtes ofte som en god, praktisk måde at få sat fokus på sikkerheden i passwords.

Ofte kan det være en god idé at måle sikkerheden løbende ved fx at udføre en password cracking-øvelse en gang årligt. Det vil give et klart billede af, om de tiltag man fortager sig på området, rent faktisk virker i praksis.
 
Hvordan gør Fort Consult?
Fort Consult tester de aktuelle passwords i en virksomheds Windows-domæner. Ud over at aflevere en rapport på, hvor mange passwords vi kan identificere, kommer vi med gode råd til, hvilken type passwords det vil være mest sikkert at benytte fremover. At få hjælp fra Fort Consult er en ekstern kvalitetssikring af en virksomheds arbejde med at implementere sikre passwords.
 
Fødevaredirektoratets brug af password cracking
"Fort Consult har udført en cracking af vores passwords i Fødevaredirektoratet. Vi fik en overskuelig rapport med resultaterne bagefter. Rapporten var nem at gå til og opbygget efter mine ønsker, så jeg kunne bruge den direkte til at tage rundt og præsentere resultaterne for hver af Fødevaredirektoratets regioner. Rapporten gjorde det nemmere for mig at overbevise medarbejderne om, at de skal arbejde efter den nye password-politik. At jeg kunne vise de aktuelle observationer betød, at medarbejderne selv kunne se, at det var nødvendigt at følge de regler, vi havde fastsat for konstruktion af passwords. Det har uden tvivl gjort det lettere for dem at acceptere, at det bliver lidt mere besværligt at konstruere og skifte passwords i fremtiden," siger Ole Ryttersgaard, souschef i Fødevaredirektoratets IT-kontor.
 
Sikker konstruktion af passwords
  • Passwords bør bestå af en kombination af store og små bogstaver, tal og tegn.
  • Det bør være mindst 8 karakterer langt.
  • Brug aldrig brugernavnet eller dele af det i passwords
  • Brug aldrig dit eget fulde navn eller dele af det
  • Brug ikke ord der står i en ordbog
  • Brug ikke navne eller numre, der kan forbindes med dig – fx telefonnumre, fødselsdage, navne på dine børn, kæreste eller tilsvarende
  • Brug ikke logiske tastkombinationer – fx qwerty som er 6 bogstaver der står lige efter hinanden på et keyboard.
 
Sikker brug af passwords
Passwords skal være hemmelige og personlige. Lær dem derfor udenad. Skriv dem ikke ned og gem dem ikke i elektronisk form. Skift passwords ud jævnligt, dvs. min. en gang om måneden.
Tilbage > udskriv