På senare tid verkar vi ha översköljts av attacker mot hemsidor myndigheter och företag, däribland Telia, Aftonbladet och CSN mfl. Alla dessa attacker bottnar i en enda sak, obehöriga tillskansar sig statiska lösenord! Oavsett använd teknik för att bryta sig in i de aktuella systemen så är den gemensamma nämnaren densamma - statiska lösenord! Det går dock att skydda sig mot detta i mycket högre utsträckning - SEDAB har lösningar!
Många bra förslag på hur man löser lösenords problem har sett dagen ljus. Att använda fingeravtryck kan man tycka är bra exempel på s.k. biometrisk behörighetskontroll men det finns i skrivandets stund inte någon kommersiell fingeravtrycksläsare som inte kan luras. Betänk också att den måste vara billig för att bli allmänt tillgänglig. Ett annat problem med dessa är att man måste beröra läsaren och därmed lämnar sitt avtryck! Jo, det finns de som man drar fingret över men dessa har också sämre exakthet. Krävs det extremt hög säkerhet är nog andra biometriska system att föredra och det som då framstår som bästa alternativ är näthinneavläsning där blodkärlens unika mönster på näthinnan utgör "lösenordet". Detta har ingen lurat hittills men få människor är bekväma med att titta in i sådan utrustning och bli belysta rakt in i ögat, det kan lätt uppfattas obehagligt eller sanitärt olämpligt pga smittorisker. Även avläsning av ögats iris mönster är ett alternativ som kommit på senare tid och som också lovar en hel del pga att det kan göras på avstånd och snart även på människor i rörelse t.ex. vid en incheckning på en flygplats.

Två faktors autentisering/inloggning är däremot en ganska enkel metod där man använder något man vet, t.ex. en hemlig PIN-kod, samt ett engångslösenord som kombineras vid inloggning. Används idag av många banker och är väldigt mycket svårare att knäcka. Ord som omöjligt kan inte användas i dessa sammanhang då det "omöjliga" har visat sig kunna göras gång efter annan. Men med en rätt implementerad lösning så kommer man väldigt nära!
Vanligen knäcks lösenord med vad som kallas "brute force" dvs man testar olika kombinationer ur ordlistor eller "bara" rabblar igenom alla tänkbara kombinationer ofta i kombination med crypto analytiska metoder, däribland s.k. "rainbow tables". Detta är förbearbetade tabeller som i sammanhanget underlättar/snabbar upp processen. Detta tar oerhörd datorkraft och tid! Amerikanska NSA klarar av det mycket snabbt och likaså faktiskt vårt svenska FRA ! Hur snabbt är naturligtvis en väl bevarad hemligt men man disponerar mycket datorkraft enbart för detta.
För att lyckas är det dock viktigt att få tag i något att testa mot och som kallas för hash och vanligen finns i respektive utsatt system och det är också denna för varje lösenord unika hash som ovan nämnda "rainbow tables" består av. Där kommer andra sårbarheter för systemet att spela stor roll då skyddet och hanteringen av denna hash ofta är mindre säker. För det går som regel inte bara att prova att logga in gång på gång då vilken system administratör som helst med lite vett har satt en begränsning på hur många försök man tillåts göra.
Två faktors autentisering/inloggning löser som sagt mycket av detta men det liksom andra lösningar kräver i övrigt också i grunden säkra system. Men genom att centralisera denna hantering inom en organisation så får man betydligt mindre exponering av känsliga system och kan med säkerhet skapa policys kring lösenord som i stort inte kan kringgås.
För mer information kontakta

SEDAB