Kodeord: Sådan hackes de og sådan undgår du at det sker

  • Ord:
    IM:
    Instant Messaging systemer, herunder Skype, AIM mv.
    IRL: Slang/forkortelse for "In Real Life", alternativt også kaldet "meatspace"
    NemId: Et såkaldt "sikkert" system til banker og offentlige data indført af den danske stat. Desuden 99.99999% sikkert det første mål kommer Danmark ud i online krigsførelse i fremtiden.
    Sniffer: Program der kan aflytte datatrafik mellem to parter
    Social Engineering:
    En form for hackerangreb der ofte involverer at hackeren ringer eller møder målet personligt og på den måde får vigtig information
    -----------------------------------------------
    Det basale:
    Kodeord er måden vi får adgang til vores vigtigste konti uden at andre kan komme ind. Alt fra at komme ind i BIOS og Windows, til Facebook og NemId konti beskyttes af disse små strenge af tekst, som ofte er det eneste led der skal knækkes før uvedkommende kan få fuld kontrol over dine konti.


    Lad os se på de 5 mest benyttede kodeord i 2013:

    Quote
    • 123456
    • password (default i mange routere)
    • 12345678
    • qwerty
    • abc123

    Nr. 2 er bl.a. brugt som default kodeord i mange routere for at gøre det nemt for brugeren at komme ind og sætte den op. Men fælles for alle kodeord ovenfor er at de både er lette at huske, men også at gætte, og derfor bryder kodeordenes helligste regel.

    Et kodeord skal være nemt at huske, men svært at gætte!

    Hvad inkluderer dette? Lad os belyse dette ved at tænke på en typisk hackers arbejdsgang:

    Quote
    • Find et mål: Dette mål kan variere alt efter hackerens intentioner, men det kan være dig, et firma eller en myndighed.
    • Find informationer om målet: Hackeren går bl.a. på Google, fora, Facebook mv. for at opspore al information om dig. Herunder fødselsdag, navn, adresse, venner, kæledyr mv. som også kan indeholde kompetente forslag til passwords. Ergo, har du fx. din hund på facebook er det nok ikke dens navn du skal bruge som kodeord i fremtiden.
    • Saml værktøjet: Hackeren laver eller anskaffer sig værktøjer til indbruddet, bl.a. sniffers, password breakers, tabeller m.m.
    • Optakten: Hvis hackeren ikke kan skaffe kodeordet direkte, kan han yderligere aflytte trafik (via sniffers), eller på anden måde tiltuske sig adgang, herunder via Social Engineering (i princippet, godt skuespil og som regel IRL) eller phishing (det samme, bare via mails og hjemmesider).
    • Angrebet: Hackeren går i aktion. Alt afhængigt af målet og dets sikkerhed kan det tage alt fra et kvarter til flere uger.

    Læg mærke til at hackeren starter med at søge information, ofte ved at bruge Google. Google søgemaskinen er ekstremt magtfuld hvis man kan programmere den rigtigt. prøv fx. at søge:

    Quote

    siteof:http://www.tweak.dk kodeord

    Yderligere om Googles funktioner kommer i en anden guide, men "siteof:" tagget er det simpleste: "Søg på side: http://www.tweak.dk efter ordet kodeord"


    Men tilbage til emnet; fordi en hacker leder efter alt om dig og dine omgivelser kommer vi til regel nummer 2:
    Et kodeord må ikke direkte kunne spores til dit liv!
    Det betyder at kærestens, hundens, kattens, marsvinets eller børnenes navne er bandlyst, ISÆR hvis du tidligere har omtalt disse på sociale medier, herunder Facebook.



    Hackerens våben:
    Når man logger ind på en konto sker der som oftest følgende:

    Quote
    • Brugeren trykker "log ind"
    • Brugerens indtastede kode bliver krypteret
    • Den krypterede kode sammenlignes med en gemt "hash" der blev oprettet sammen med kontoen.
    • Hvis de passer sammen, er du inde, ellers ikke

    Information: Som diskuteret tidligere, brugere hackeren ofte personlige informationer til at gætte og bryde kodeordet


    Brute-force attack: Hackeren benytter et program der gennemgår samtlige kombinationer af tal, bogstaver og symboler der kan være i kodeordet. Er der tid nok, kan alle kodeord brydes på denne måde. Modvirkes effektivt af systemer der giver et begrænset antal forsøg til at logge ind.


    Dictionary attack: Dictionary betyder ordbog på Dansk, og konceptet er det samme. Hackeren bruger et program der gennemgår en laaaaaang liste af ord og/eller mulige kodeord. Kan ikke finde alt, men alle kodeord der kendetegnes som dårlige er sikkert med i ordlisten. Dictionaries indeholder sjældent udtryk med tegnsætning, men kan altid udvides.


    Rainbow Tables: Ofte hjemmesider man kan gå ind på, der gemmer krypterede kodeord-"hashes" sammen med sin ikke-krypterede makker. Fungerer ellers som et dictionary attack, men er meget hurtigere siden det tunge arbejde (kryptering) er gjort.


    Keyloggers: Et lille program der holder øje med hvad du taster og sender dette til hacker. Programmet kommer ofte ind som virus, cookies eller er kamufleret inde i et andet program. Keyloggers findes også som USB sticks og virker på samme måde, på nær at man selv skal hente loggeren bagefter.


    Efter den liste kommer vi til regel nummer 3:
    Aldrig brug et ord alene!
    Det vil sige, brug aldrig almindelige ord til kodeord, herunder "password", "kodeord", "hundehvalpe" osv. for din hacker kan sagtens have udledt sin dictionary-fil fra den danske retskrivningsordbog.


    Hvad så?
    For computere er de mest optimale kodeord udformet således:

    Quote

    *V/>i!'Qq"G5894

    Her er alle de gode konventioner overholdt; Store og små bogstaver, tal og tegn. Denne kode er stort set immun overfor andet end brute-force attacks, og selv disse vil tage lang tid om at finde koden.

    Quote

    W2PO4QS4y3R8Ywi

    Endnu et genereret kodeord, dog uden brug af tegn, men den kan stadig kun med sikkerhed knækkes af et brute-force program


    Dog er der ingen af de to kodeord der er specielt nemme at huske, på trods af at deres generator giver en simpel måde at huske dem på.


    Den nemmeste måde at huske og lave komplekse kodeord på er via forkortelser og huskeregler.
    Guitarspillere kender sikkert sætningen "Erik Andersen Drog Gennem Hele Europa" fra da de skulle lære at stemme instrumentet (tonerne E, A, D, G, H, E).
    Andre, mere visuelt tænkende mennesker laver derimod en mental "reol" og giver tingene i reolen en værdi (fx. et "S" eller et 3-tal), og helt tredje mennesker lærer dem ved at bruge dem igen og igen.


    Men, men, men hackeren er ude igen og vi kommer til "regel" nummer 4:
    Aldrig brug samme kodeord flere steder!
    Det burde forekomme logisk, at hvis hackeren har fundet dit kodeord ét sted, så kan han komme ind alle steder der bruger samme kodeord. Du skal også vide at hvis han har fundet dig på fx. Facebook, så ved han sikkert at du også følger Tweak.dk...


    Men hvorfor "regel" i anførselstegn? Fordi det er svært at huske på et kæmpe sæt koder konstant. Ofte kan man dele det lidt mere simpelt op efter hvor meget og hvor vigtig information man kommer ud med på stedet. Jeg bider mærke i at det er ALT personlig information man skal passe på med. fx:


    Foraer: Ofte kun bundet med mail og IM. Tænk på dit rygte på forummene og se om du vil opgradere til mere sikre passwords til disse. Jeg sætter altid simple passwords på mine forumkonti i starten og bruger en sekundær "junk" mailkonto til mail... skulle jeg beslutte ikke at komme tilbage.


    Sociale netværk: Facebook, LinkedIn mv. har ofte mere information bundet i sig. Alt fra hvem du er sammen med til din adresse ligger frit hvis en hacker kommer ind på din (eller dine venners) konto. Konti på sociale netværk bør derfor beskyttes ekstra.


    Spil: Spilkonti som Steam, Xbox Live og Playstation Network giver mulighed for at købe spil. Indeholder værdi i form af købte spil og også i form af kreditkortoplysninger hvis man bruger disse. Kreditkort har i sig selv visse faldenet i og med at de kan spærres og penge kan sendes retur, det tager dog tid og energi der nemt kunne bruges til et lidt mere sikkert kodeord og en del mere gaming.
    Personligt behandler jeg mine spilkonti som bankbokse, især min Steam Profil med 117 spil og 10 års stolt medlemskab :)


    Banker, offentlighed og NemId:
    NemId systemet er sikkert på papiret med sit nøglekort, dit cpr-nummer og kodeord. Systemet kender du sikkert, og det er ikke meget forskelligt fra et alm loginsystem.


    Første omgang idioti er dog brugen af cpr-nummer som bruger-id. Andre kan stadig få en del magt med dit cpr-nummer (bl.a. købe hus, oprette bankkonti mv.) og det er i sig selv ALT for nemt at gætte.... har man fødselsdagen, kan man barbere ned til 5000 kombinationer.


    Kodeordet er ikke længere sidste mur til Paradis, men ikke desto mindre skal det være sikkert. Husk på det er din komplette persona, som myndigheder og banker ser, der står på spil!


    og pas på nøglekortet....

    CPU: Pentium III 500 MHz
    RAM: 256 MB PC133 SD RAM
    Bundkort: HP bundkort
    GPU: Matrox MGA G200


  • Hackerens våben:
    Når man logger ind på en konto sker der som oftest følgende:


    Nja, kodeordet bliver hashet, ikke krypteret. Og hvis webdesigneren ikke er mentalt tilbagestående, så er det ikke bare et alm. hash, men et salted hash. For ellers kan man bare plugge et givet hash ind i google og få det tilhørende password ud. Salting tilføjer en lang kode til selve passwordet, før det bliver hashet. Så "123456" bliver f.eks. kombineret med "ftKu*mYMM*9ol.RAbOt9'pVvXIf@MF?kl4Z"J=z~76ug`73P%W+TTaVmdS~m\_YD}EZd<@*iGL]bV1HUs>v]]Fv9W=qP*<F$5#ct\&#;[r.M_n$XrvDE}\2sS(Zf<gpQJ35PV@-)y&-cu^SzH2V&1j.j]Su-=XYw&2ODz|#6\@bY)gkj_J1pA# g$X}k%FHZi5-WumI&Gaba1bFD$)HgJL?I5m)2p!)89P3EN.Tx>8sRF~zS>?e2lI7AtW6!LRL" og hashet.

  • Den nemmeste måde at huske og lave komplekse kodeord på er via forkortelser og huskeregler.


    Nope. Den nemmeste måde er ved at bruge en password-manager, eksempelvis KeePass.


    Jeg har eksempelvis forskellige passwords til alle mine login, og de er typisk i stil med (men forskellige fra) "o^ze\lQ1PHk,eeKQ`SB,#CyYu7&w"


  • Nope. Den nemmeste måde er ved at bruge en password-manager, eksempelvis KeePass.

    helt sikkert.... hvis man vil have dem liggende et sted hvor de stadig er tilgængelige for uvedkommende..... omend der nok er en tand mere arbejde.


    ellers et stykke ægte, fysisk stykke papir på et sikkert og evt. aflåst sted... men igen, man kan komme til at skifte password tit hvis man er et let offer af en eller anden grund.


    har aldrig været tryg ved password managers personligt, så har altid brugt knolden. De ligger trygt sammen med tallene på mit dankort, mit wifi password, en Windows XP cd-key og andet ragelse :rolleyes:


    Det er dog faktum at hukommelsen kan trænes, man skal bare finde det rigtige værktøj... Hvis ikke du har set det, så tjek F***er med din hjerne fra DR. Det skal siges at man ikke behøver være autist for at kunne....

    CPU: Pentium III 500 MHz
    RAM: 256 MB PC133 SD RAM
    Bundkort: HP bundkort
    GPU: Matrox MGA G200

  • helt sikkert.... hvis man vil have dem liggende et sted hvor de stadig er tilgængelige for uvedkommende..... omend der nok er en tand mere arbejde.


    De er ikke tilgængelige for uvedkommende. De ligger i en krypteret database. I mit tilfælde skal man både have et password og en kodefil for at komme ind i den database (så okay, ét enkelt password skal jeg kunne huske).

  • Der kan vist tæskes langhalm på, hvordan den enkelt opbevarer bedst.
    Managers bruger jeg heller ikke, og kommer heller ikke til det.


    Jeg har haft stillinger i offentlig regi i IT afdelinger, og her er det skræmmende, hvordan man lagre passwords.


    Super post Foxx! :clap:

  • Jeg har den overbevisning at, hvis en hacker ønsker sig adgang til lad og sige min mail.. Så får han adgang til den, lige gyldigt om jeg så har en kode på 128 tegn kombineret af tegn osv..


    Det eneste det kræver at jeg er en smule uopmærksom, også ligger der en keylogger på maskinen, eller andet malware..


    Så kan det være nok så lige gyldigt hvad ens kode er..


    Jeg går ikke super meget op i min kode på nettet, hvis folk vil have adgang til min mail, så velkommen, der er ikke andet end nyhedsbreve :)


    Den bedste sikkerhed mod at blive hacke, er at hive netkablet ud :)

  • Jeg har haft stillinger i offentlig regi i IT afdelinger, og her er det skræmmende, hvordan man lagre passwords.

    Jeg har selv hørt historier ... :rolleyes:

    :goodpost: jep, internetsikkerhed er ikke kun passwords. Passwords holder kun n00bs og script kiddies ude af dine konti. Antivirus, -malware og -spyware holder skidtet ude af dit system. På den anden side kan man også slippe for de fleste vira ved at skifte styresystem (pssst..... linuuux :) ).


    men alt i alt kommer det nok an på hackerens viljestyrke... ligesom om hvorvidt en tyv vil klatre op på 1. sal for at begå indbrud...

    CPU: Pentium III 500 MHz
    RAM: 256 MB PC133 SD RAM
    Bundkort: HP bundkort
    GPU: Matrox MGA G200

  • Og til de dovne kan man bruge f.eks. Lastpass til at generere og holde styr på alle ens koder - Som selvfølgelig er unikke for hvert login og ikke skal bruges til de vitale sider.


    Sparer en hel del tid på fora og lign. 8o

    Cyberduck
    | Lian Li PC-O11DXL | ASRock PG Velocita B550 | Ryzen 5600X | 4x8GB TridentZ Royal RGB @3600 Mhz | RTX 3080 | Seasonic Platinum 750W | 4T NVME, 1TB NVME | 6TB WD RED HDD | Vandkøling fra EK |

  • Bruger selv Lastpass, dog er jeg først lige begyndt på det så er igang med at konvertere mig selv til at bruge det. Førhen gjorder jeg mig dog ikke i password sikkerhed, da jeg var lidt ligeglad og havde den samme tankegang som nitan.

    AMD Ryzen 5 5600X / MSI MPG-X570 Gaming Pro Carbon WIFI / Asus GTX 780 DirectCU II / ARCTIC Liquid Freezer II 240 / Sandisk Extreme Pro 480GB / Seagate 500GB 7200RPM / Phanteks Enthoo Luxe / EVGA Supernova G2 850W / SupremeFX / G.Skill RipjawsV DDR4-3200 C14 - 16GB

  • KeePass og Lastpass udfylder samme funktion. KeePass er bare mere sikkerhedsorienteret, mens Lastpass er mere bekvemmelighedsorienteret (man kan f.eks. lægge sin database i skyen, hvilket teoretisk set er mindre sikkert).

  • jeg har et lille problem. min pc starter op i boot. hvad kan jeg gøre... den slukker ikke når jeg trykker på tænd/sluk knappen. når jeg trykker på den igen. starter den op i boot. det er en asus satellite pro, med styresystemet windows 7 ultimate. hvad gør jeg


    Lyder mere som et spørgsmål til Hardware eller software sektionen, men hvis den spørger efter en boot kode kan du evt. finde BIOS batteriet (som regel et rundt ur-batteri) og tage det ud i 5 minutters tid. BANG, ikke mere kode.


    Men spørg i Hardware og forklar så godt du kan hvad problemet er... evt. grib kameraet og tag billede af hvad der sker. Jeg er sikker på du vil finde en løsning :)

    CPU: Pentium III 500 MHz
    RAM: 256 MB PC133 SD RAM
    Bundkort: HP bundkort
    GPU: Matrox MGA G200