Fr4mt1d3n5_Aut3nt153r1ng

expired

Något vi inom IT-säkerhetsbranschen funderar mycket på, och kanske till och med får vissa av oss att ligga sömnlösa om nätterna, är lösenord. Lösenord är fortfarande det vanligaste sättet att autentisera sig i IT-system, där 90% av alla hemsidor använder lösenord som mekanism för autentisering, enligt Secjuice. Lösenord är för oss människor ett improduktivt och komplicerat sätt att autentisera oss med eftersom vi då måste komma ihåg väldigt många olika lösenord. Det finns studier som visar på att detta inte är optimalt på grund av människans begränsade minne. Denna artikel handlar om problemen med lösenord och några av alternativen för att underlätta autentisering.

Password Expired!

Flera verksamheter sätter krav på lösenordens komplexitet tillsammans med en hög bytesfrekvens i sina lösenordspolicys. Många komplicerade lösenord och täta lösenordsbyten höjer kanske säkerheten i teorin, men minskar användarvänligheten och försvårar för slutanvändaren. Det leder oftast till att minsta motståndets lag träder i kraft där användaren till exempel skriver ner lösenordet i sitt anteckningsblock, eller varför inte på en Post-It under tangentbordet? Att byta lösenord med ett visst antal månaders mellanrum är inte längre en relevant säkerhetsåtgärd eftersom detta grundar sig i hur lång tid det tog att forcera ett visst lösenord förr i tiden. Det är idag inte längre en begränsning i tid för att knäcka motsvarande lösenord, enligt SANS så ligger skyddet istället i att ha långa komplicerade lösenord. Detta behöver nödvändigtvis inte innebära att blanda bokstäver, siffror och specialtecken utan kan räcka med att ha en längre fras eller minnesvärd kombination som är över 12-15 tecken. Att kräva frekventa lösenordsbyten av användarna ökar alltså istället säkerhetsrisken eftersom det är enklare att göra fel. Tyvärr ligger denna rekommendation kvar i många regelverk och lever därför kvar i säkerhetsbranschen som en generell riktlinje.

Ett fenomen som också uppstår är att användaren memorerar enstaka komplexa lösenord som används på flera tjänster. Ansvaret för att hålla lösenordet säkrat ligger då helt hos olika verksamheter, tjänster och hemsidor. Deras förmåga kan variera kraftigt beroende på den tekniska lösning som används. Dessutom har många av dessa tjänster en mycket högre IT-hotbild mot sig än enskilda privatpersoner, kopplat mot riktade attacker. Sker ett intrång spelar det ingen roll hur komplicerat ett lösenord är, om det ändå lagras som klartext i en databas. Intrången som faktiskt sker och dess stulna konton går att övervaka på hemsidor som exempelvis HaveIBeenPwned. Det går inte att garantera att samtliga lösenord som läcker ut på olika delar av internet samlas in, men de som blir offentligt kända finnas alltid med. I skrivande stund finns över 10 miljarder läckta konton med i databasen på HaveIBeenPwned. Det går att kontrollera sina egna konton mot tjänsten för att ta reda på om det finns med i någon av databasens listor.

One password to rule them all

Det finns många tekniska lösningar som underlättar utmaningen med att hantera lösenord. Ett exempel är lösenordshanterare för smartphones, där användaren registrerar lösenorden i en databas antingen manuellt via en applikation eller automatiskt via webbläsaren. Två av de bättre alternativen på marknaden just nu är 1Password och LastPass. Alla dessa uppgifter skyddas då av ett huvudlösenord, och det går även att använda fingeravtrycksläsning eller ansiktsigenkänning för att höja säkerheten ytterligare. Detta kräver dock en viss datorvana och disciplin för att hålla denna lista uppdaterad. Vid användning av vissa lösenordshanterare måste användaren gå in och läsa lösenordet för att skriva av det eller kopiera det till en applikation, vilket också kan innebära en risk om någon i närheten skulle kunna läsa vad som står på skärmen. En risk kan även vara att vissa applikationer läser av urklippt text i smartphones när den kopieras, utan användarens vetskap.

En annan lösning är att ha ett trivialt lösenord som är lättare att komma ihåg till sina inloggningar och kombinera dessa med ett engångslösenord som tillfälligt genereras, ett så kallat One Time Password (OTP). Säkerheten ligger i att två faktorer måste finnas: ett lösenord som användaren känner till samt något som genererar ett tillfälligt lösenord. Denna metod kallas tvåfaktorsautentisering (2FA) eller multifaktorautentisering (MFA) och rekommenderas bland annat av den brittiska myndigheten NCSC som ett bra skydd mot lösenordsforcering. Ett av de äldsta exemplen på 2FA är när pengar tas ut från en bankomat, då har användaren något fysiskt, bankkortet, tillsammans med något känt, en PIN-kod. En annan vanlig metod är att användaren får ett SMS med en engångskod, men ett ännu säkrare alternativ till SMS-koderna är att använda en autentiseringsapplikation på sin smartphone, till exempel Google Authenticator, där nya koder kontinuerligt genereras med en kort giltighetstid för att öka säkerheten och försvåra för en illasinnad aktör. SMS-teknologin är från början inte byggd med IT-säkerhet i fokus och därför inte kryptologiskt säkrad på samma sätt som till exempel autentiseringsapplikationer, och det finns tyvärr flera sätt att attackera 2FA via SMS.

Ett annat användningsområde för 2FA kan vara på arbetsplatserna för att få tillgång till olika lokaler där bara behörig personal får vistas. Då används en kombination av en fysisk nyckel och något du vet, till exempel en PIN-kod eller lösenord. Detta används på majoriteten av arbetsplatser för att begränsa fysisk tillgång, och en mer modern lösning på vanliga fysiska nycklar är att använda Radio Frequency Identification (RFID), där ett nyckelkort eller en bricka hålls upp mot en RFID-läsare och trådlöst kommunicerar med varandra. Kortet har ett unikt ID-nummer och finns detta nummer inlagt i passagesystemet avaktiveras låset. Detta är en praktisk lösning för fysisk tillgång och har få brister. En av nackdelarna är att dessa fysiska kort kan tappas bort eller bli stulna och en illasinnad aktör kan på ett relativt enkelt sätt tillskansa sig fysisk tillgång till en byggnad. Speciellt om det inte finns krav på 2FA med PIN-kod vid användning av kortet. Då krävs snabba processer för att rapportera in förlusten av kortet och återkalla behörigheter för det berörda kortet.

Blippa

Framtidens autentisering ser antagligen helt annorlunda ut än idag, och lösenord är något som bör bytas ut till förmån mot säkrare och framför allt enklare metod. Ett växande intresse i många länder och framförallt i Sverige är att använda en typ av RFID, kallad Near Field Communication (NFC), som ett litet implantat under det översta hudlagret i handen. Implantat i kroppen för medicinska skäl har funnits sedan första hälften av 1900-talet och är ett vedertaget fenomen i samhället. Att använda tekniken för att förbättra och förenkla i vardagen är fortfarande ganska obekant för många. Det sker dock en ökning av antalet som vill sätta in ett chip i handen, och Sverige har hamnat i centrum flertalet gånger för att vi ligger i framkant när det handlar om att ta sig till denna teknik. Allt fler tjänster stödjer denna förändring, till exempel så har SJ laborerat med en applikation som gör det möjligt att skriva in chippets nummer i sitt SJ-Prio konto så att det går att använda som färdbiljett. Användningsområdena är många men fortfarande relativt outforskade. Det går till exempel att använda i olika typer av passagesystem, smarta dörrlås, bonuskort, som digitala visitkort, för att låsa upp datorer eller mobiler och kanske till och med även som betalning i framtiden. I takt med att allt fler chippar sig kommer företag och verksamheter att behöva anpassa sina system för att möta efterfrågan hos användarna.

När det diskuteras om implantat i kroppen så kommer nästan alltid frågor upp om integritet upp. Det är inte möjligt att övervaka eller spåra ett RFID-implantat, på samma sätt som att det inte går att spåra ett vanligt passerkort eller en nyckelbricka, förutom när det används i en läsare som är kopplad till ett loggningssystem där platser och tider vid användning registreras. Radiotekniken som används i implantaten är förvisso trådlös men är passiv och har en väldigt kort räckvidd. En mottagare måste i princip vara inom armlängds avstånd för att aktivera chippet och läsa av radiovågorna, beroende på hur avancerad en NFC-läsare är och hur känslig antennen är. I de vanligaste mottagarna måste implantatet hållas någon centimeter från mottagaren. De vanliga implantaten är alltså inte uppkopplat via GPS eller på något annat sätt möjligt att geografiskt positionera.

För att undersöka RFID-tekniken utifrån ett säkerhetsperspektiv har undertecknad satt in ett chip i handen. För att sätta in ett chip i handen krävs lite planering. Innan insättningen är det bra att göra en lista på platser och funktioner som skulle kunna fungera med implantatet. En bra utgångspunkt är denna lista från Chipster, som är en svensk hemsida i framkant för ämnet med tydlig information, produkter och organiserar event där de hjälper till med en eventuell insättning. Det går även att använda några av de olika testkort som finns tillgängliga för att kunna välja vilket typ av mikrochip som funkar på de ställen som används i vardagen. Det finns en handfull med olika protokoll för RFID där NFC är det protokoll som utbreder sig snabbast, och vissa av implantaten stödjer flera protokoll. Injiceringen av implantatet går snabbt och huden läker på ett par dagar, och måste givetvis genomföras av kunnig personal.

Standard Operating Procedure

På Basalt har vi uppdaterat våra rutiner för medarbetare som vill registrera ett implantat för inpassering och det är inte en svårare process än att registrera nya inpasseringskort. Olika fördelar och nackdelar har vägts för säkerheten i implantat för autentisering och sammanfattningsvis talar mycket för att det är en behändig lösning för arbetsgivaren eftersom användarna inte kan tappa bort sitt fysiska passerkort, vilket annars kan bidra till en säkerhetsrisk för det fysiska skyddet i en byggnad. Att alltid ha möjligheten till autentisering utan att behöva komma ihåg att ta med sig ett fysiskt kort kan vara en lockande tanke för många. Lösenord har länge varit omodernt och hör hemma i historieböckerna, men tyvärr får vi nog leva med dem ett tag framöver. Trots att det inte finns en optimal lösning för autentisering så går det fortfarande att hålla sig relativt säker med beprövade metoder och ett sunt förhållningssätt till IT-säkerhet.

Här nedan finns tre konkreta tips för att förbättra situationen kring lösenord som vi befinner oss i idag:

  • Använd inte samma lösenord på flera tjänster. En smidig lösning kan vara att lagra unika lösenord i en lösenordshanterare som lagrar allt krypterat. Sätt ett långt lösenord som huvudlösenord.
  • Använd multifaktorautentisering där det är möjligt och upplys annars den berörda verksamheten att intresset finns från dig som användare att säkerheten höjs. Det är trots allt din data som finns lagrad i systemet.
  • För beslutsfattare och ägare av IT-system; sätt en lösenordspolicy som inte kräver byte av lösenord alltför frekvent, så kommer säkerheten istället att höjas. Lägg fokus på starka och unika lösenord som användaren då får tid att memorera. Skapa gärna lösenorden med hjälp av en lösenordsgenerator.

Det sker en intressant och spännande utveckling inom autentisering. Vill ni testa säkerheten i era system kommer vi gärna och genomför en säkerhetsgranskning hos er, där någon av våra kunniga kollegor kan se över bland annat policys och andra säkerhetsrutiner, eller genomföra ett grundligt penetrationstest. Kontakta oss för att få reda på mer!