It Sikkerhed - Sikkerhed I Design

Afdfærdsdesign og sikkerhed

eksamensspørgsmål i krav til password og logonside til system: https://hvg37.dk/cms/ProfileMaintainEnrollment.aspx?TeamID=235

Passwords

Pas på password'et - 60 min

Eleverne indeles i grupper og skal lave en risikoanalyse for ét af de nedenstående systemer:

  1. Elever finder på mindst tre ekstra trusselsscenarier for deres adgangssystem.
  2. Eleverne vurderer via risikomatrix sandsynlighed og konsekvens for scenarierne.
  3. Eleverne kommer med forslag til at afhjælpe trusselscenarier af middel-megethøj grad af risiko.
Risikoanalyse
Proces Trussel Sårbarhed Sandsynlighed Konsekvens
Logon Afluring af kode Tredje part får adgang til system
Kode Kode for enkel Tredje part kan gætte kode
Kode Kode mistes/glemmes Bruger mister adgang til system
Kode Genbrug af kode og logonmail Tredje part fanger kodeord via andet system

Risikomatrix

Hyppig Middel Høj Meget høj Ekstrem høj
Sandsynlig Lav Middel Høj Meget høj
Sjælden Meget Lav Lav Middel Høj
Usandsynlig Ekstrem lav Meget Lav Lav Middel
Ubetydelig Betydelig Alvorlig Katastrofal

Systemer:

  1. Pinkode - 4 tal
  2. Adgangskode - præcis 12 tegn og skal indeholde både tekst, tal, specialtegn og store/små bogstaver
  3. Autogeneret 256 kb nøgle på usb…
  4. Biometrisk genkendelse af fingeraftryk
  5. Håndskrift på touchpad eller touchscreen
  6. Klik på elementer i billeder: https://www.computerhope.com/jargon/p/picturepassword.htm

Passwords: Dum bruger eller dumt system?! - 60 min.

Eleverne skal vurdere forskellige cases, der involverer problematikker med adgangskoder og brugere. - De skal for hver case vurdere:

  1. om årsagen til problemet primært skal findes i systemets design eller i uforsigtig brug
  2. løsningsmuligheder, så problemet forhindres eller minimeres - gerne ved at bruge/inddrage analyserne i øvelse 1.

Case 1: En undersøgelse viser, at Danskerne genbruger passwords i stor stil. - Hver anden dansker bruger det samme password til flere tjenester på nettet. Det øger risikoen for, at hackere får fat i private data. Det fremgår af rapporten Borgernes informationssikkerhed 2015, som sikkerhedsorganisationen DKCERT har udarbejdet for Digitaliseringsstyrelsen.

Case 2: Iphone låses, hvis man skriver password forkert flere gange i træk. Det har ført til tilfælde, hvor telefoner låses i årevis efter at små børn har leget med iPhones og trykket igen og igen. - Telefonen kan kun rebootes, hvilket betyder at billeder, sms'er m.m. er tabt.

Case 3: Mange it-produkter kommer med et standard-password eller helt uden, og så har det været op til brugeren selv at lave et (nyt) password. Det har ført til masser af sager om folk der uforvarende er blevet beluret via egne overvågningskameraer, kameraer i tv'er m.m. og tilmed tilfælde hvor folk udfra har kunnet logge på og skifte priser på benzinstandere…

Case 4: Case: logon til folkeskoleelever…

Case 5: Passwords: krav om skift af passwords, længde, tegn…

Case 6: password til missiladvarselssystem er placeret på skærmen - hvorfor kan det være sket? Hvor ligger fejlen? Hvad er løsningen?

Case 7: https://www.version2.dk/artikel/fyreseddel-fik-it-medarbejder-at-se-roedt-laegge-it-systemerne-ned-1084386

Verdens bedste password?! - 30 min

password_strength.png

En anbefaling fra Digitaliseringsstyrelsen går på at lave passwords ved at "tage en linje i en sang, en remse eller en sætning og bruge forbogstaverne i hvert ord". Eks. Der sad to katte på et bord » dstkpeb

  • Lav et password ud forbogstaver i en sang (kun små bogstaver)
  • Tjek styrken på http://www.passwordmeter.com - obs! tjek ikke aldrig dine rigtige passwords.
  • Prøv at indføre store bogstaver - hvor meget hjælper det?
  • Og tal eller andre tegn? Eks. to laves til 2 og en til 1: ds2kp1b
  • Prøv nu blot at brug hele linjen som password? Hvor meget værre/bedre er det?
  • Tjek de enkelte parametre i udregningen: hvad betyder mest for passwords styrke?
  • Lav en algoritme, der laver stærke passwords, som man også kan huske

I samme anbefaling skriver digitaliseringsstyrelsen at "57 procent af danske borgere bruger det samme password til flere online tjenester":

  • Vurder, hvorfor folk genbruger passwords
  • Vurder og beskriv i hvilken grad genbrug af password er et problem
  • Udvide din algoritme, så dit system laver forskellige passwords folk kan huske til forskellige systemer
password_reuse.png
Medmindre andet er angivet, er indholdet af denne side licenseret under Creative Commons Attribution-NonCommercial 3.0 License