engångskod

(one-time code, OTC)lösenord som ska användas bara en gång. Ofta en sifferserie. Syftet är att göra uppsnappade lösenord oanvändbara. Det finns två slags engångskoder:

  • – koder som står i en lista: användaren har ett exemplar av listan och mottagaren ett annat. När användaren har använt en av koderna kan den inte användas igen. Processen kan vara automatiserad. Läs också om engångskrypto;
  • – koder som genereras när de ska användas. Detta kan göras hos användare och mottagare oberoende av varandra eller i en session. Om koden genereras av användaren och mottagaren var för sig används algoritmer, som kan vara lagrade i särskilda hårdvarunycklar, och som gör sina beräkningar utifrån en lagrad gemensam hemlighet eller, till exempel, klockslaget. Parterna gör samma beräkning samtidigt och jämför resultaten. Koden kan också genereras i en session där användare och mottagare utväxlar data som behandlas enligt principerna för utväxling av nycklar för asymmetrisk kryptering.

[lösenord] [ändrad 5 augusti 2019]

ji32k7au4a83

ett lösenord som i början av 2019 visade sig vara rätt vanligt, trots att det verkar rent slumpartat. Förklaringen visade sig vara att om man skriver ”mitt lösenord” på kinesiska – wǒ de mìmǎ – på ett taiwanesiskt tangentbord avsett för kinesiska skrivtecken så kodas det som ji32k7au4a83. Andra halvan av ordet, au4a83, står för lösenord och är ännu vanligare som, just det, lösenord. – Mer i denna artikel i Gizmodo.

[lösenord] [6 mars 2019]

standardlösenord

fabriksinställt lösenord för elektronisk utrustning, likadant på alla enheter. Ofta 1111, password eller liknande. Kunden förväntas byta ut lösenordet efter inköpet, men så sker sällan. Även användarnamnet brukar vara fabriksinställt: ofta admin. Detta är ett säkerhetsproblem med tanke på att allt fler elektroniska prylar är åtkomliga genom internet och wi‑fi: en angripare kan alltså pröva att logga in med standardlösenordet för att få tillgång till resurser eller ställa till skada. I Kalifornien antogs hösten 2018 en lag (länk) som förbjuder standardlösenord med början 2020: varje enhet ska då levereras med ett unikt lösenord. – På engelska: default password.

[lösenord] [11 oktober 2018]

lösenordsförnyelse

obligatorisk lösenordsförnyelse, regelbunden lösenordsförnyelse – krav att användare i ett nätverk byter ut sina lösenord med bestämda mellanrum. Det kan vara var tredje månad, en gång i halvåret, varje år eller något annat. – Flera experter anser att regelbunden lösenordsförnyselse inte höjer it‑säkerheten, utan tvärtom, främst därför att användarna tenderar att återanvända sina gamla lösenord med minsta möjliga ändring enligt mönster som mittlosenord1, mittlosenord2, mittlosenord3… Behovet av att hålla reda på många lösenord, som dessutom måste bytas ut med jämna mellanrum, gör också att användarna tenderar att använda samma, eller snarlika, lösenord till många tjänster. Det underlättar för hackare. En bättre lösning enligt it‑säkerhetsexperten Bruce Schneier (se denna länk) är att välja lösenord som inte liknar något som står i ordlistor, men som ändå går att komma ihåg. Han har tidigare också rekommenderat mycket långa lösenord, eftersom hackarna bara brukar pröva lösenord upp till en viss längd. Den svenska it‑säkerhetsexperten Anne‑Marie Eklund‑Löwinder (länk) påpekar (se denna länk) att stulna lösenord som regel används omedelbart. Att byta lösenord regelbundet är därför som att byta ut dörrlåset efter inbrottet. – På engelska: password rotation, ofta försvenskat till lösenordsrotation. Den benämningen kan skapa intrycket av att samma lösenord cirkulerar bland användarna, så därför är lösenordsförnyelse tydligare.

[lösenord] [ändrad 25 februari 2019]

Telepathwords

tjänst för test av lösenord. Man matar in lösenordet tecken för tecken på Telepathwords webbsida och Telepathwords visar då vilka de tre mest sannolika följande tecknen är. Programmet utgår från kända vanliga lösen­ord, vanliga ord och uttryck samt teckenföljder på tangentbord. Det är en tjänst från Micro­soft Research. – Pröva Telepathwords på denna länk.

[lösenord] [ändrad 26 juli 2017]

Targuess

en algoritm som uppges kunna knäcka de flesta lösenord med färre än 100 försök. – Targuess utgår från personlig information om lösenordets innehavare. Informationen samlas in på sociala forum på nätet. (Targuess arbetar alltså inte med vare sig ordlisteattacker eller uttömmande attacker.) Enligt Targuess upphovspersoner lyckas algoritmen med ungefär 73 procent av lösenorden. – Targuess har utvecklats av forskarna Ding Wang, Zijian Zhang, Ping Wang, Jeff Yan och Xinyi Huang. Se artikeln ”Targeted online password guessing: an underestimated threat” från 2016 (länk).

[lösenord] [ändrad 27 september 2018]

peppar

(pepper) – i kryptering: ett tal som läggs till ett lösenord som ska lagras i en databas. Talet läggs till innan lösenordet krypteras som ett kondensat. Syftet är att göra det orimligt tidskrävande för en angripare att knäcka lösenordet. – Om man till exempel lägger till sex binära siffror (ettor och nollor) får man 64 olika tänkbara tal. Om lösenordet är M12c3jKk kan alltså lösenordet med peppar bli M12c3jKk101110. (I praktiken använder man mycket längre teckenserier – 112 bitar rekommenderas av USA:s NIST.) Peppar sparas i en separat databas som måste vara skild från databasen över lösenord. – En angripare som försöker dekryptera lösenordet på ett systematiskt sätt (se ordlisteattack och uttömmande attack) måste pröva varje tänkbart lösenord mot ett stort antal olika tal, vilket blir mycket tidskrävande. – Peppar används tillsammans med kondensat (hash) och salt. Namnet anspelar förstås på salt. – Läs också om nonce.

[kryptering] [lösenord] [ändrad 16 oktober 2018]