07.27.10
Posted in Almennt at 16:31 ritaði Svavar Kjarrval
Í fréttum undanfarna daga hefur komið fram að nokkrir þingmenn í ríkisstjórnarflokkunum ætla sér „ekki að styðja ríkisstjórnina áfram“ nema eitthvað sé gert í Magma málinu. Í annarri frétt og þriðju frétt er þetta svo ítrekað. Ætlaði ég mér að láta nægja að vísa á þessar þrjár fréttir en í dag komu fram persónulegt álit Ragnheiðar Elínar, þingflokksformanni Sjálfstæðisflokksins, um að ríkisstjórnin sé óstarfhæf og því sé fyrir bestu að boða til kosninga.
Eins mikið og ég fyrirlít Vinstri græna og Samfylkinguna er ég samt á móti því að boða til Alþingiskosninga um leið og eitthvað ósætti er í ríkisstjórn. Að mínu mati á ekki að vera neitt afl þar sem samið er um niðurstöður atkvæðagreiðslna fyrir fram eða ákveðnum málum ýtt fram yfir önnur vegna þess að ákveðinn flokkur vill það. Þegar maður heyrir fréttir um að ákveðnir þingmenn ætli sér að hætta að styðja ríkisstjórnina eru þeir að gefa til kynna eftirfarandi: „Ég gef málum ríkisstjórnarinnar stuðning minn þótt ég persónulega hefði kosið gegn þeim. Fyrst þið eruð á móti máli X, þá hætti ég að gefa ykkur atkvæði mitt án umhugsunar.“ Ef þeir hefðu kosið áfram eins og venjulega væru þetta bara orðin tóm og engin tæki mark á þeim.
Er eitthvað sem öskrar hærra en hjarðhegðun en svona yfirlýsingar? Þótt núverandi skipulag sé ekki hið besta í stöðunni hefði ég að minnsta kosti búist við meiru sjálfstæði í þingmönnum. Þessi hjarðhegðun er það sterk að hún getur sannfært þingmenn um að greiða atkvæði á móti sinni sannfæringu. Ef ætlunin var að kjósa sauði sem fylgja hjörðinni með forystufólk flokkanna sem sauðahirða hefði fólk alveg eins getað kosið vélmenni á þing.
Á tímabilinu sem kallast „korter fyrir þinglok“, sem í raun spannar nokkrar vikur, eru þingmenn skikkaðir til þess að greiða atkvæði með öllum þeim málum sem eru rennd í gegn. Ef þeir gera það ekki fá þeir óformlegt tiltal frá ónefndu fólki. Frumvörp sem hlutu einróma atkvæðagreiðslu fengu hana ekki vegna þess að allir voru sammála því sem það átti að færa, heldur vegna fyrrgreindrar hjarðhegðunar. Bara sem dæmi má nefna þessar illa ígrunduðu breytingar á höfundalögum (sem ég mótmælti til þingmanna og kom með rökstuðning) og ein hjúskaparlög (sem ég er fylgjandi).
En af hverju er ég að mótmæla hjarðhegðun þingmanna þegar það er ‚augljóst‘ að málin ná í gegn hvort sem er án hennar? Fyrir atkvæðagreiðslu mála geta þingmenn ekki ályktað með afgerandi hætti hvað aðrir ætla að kjósa nema viðkomandi hafi gefið til kynna með afar augljósum hætti hvernig atkvæði hans mun liggja í málinu. Ef hver þingmaður gerir ráð fyrir því að allir aðrir muni greiða atkvæði með frumvarpi (nema annað komi í ljós) mun það enda með því að (nær) öll mál hljóta einróma samþykki ef hann byggir atkvæði sitt á því hvernig hann heldur að málið endar. Ef hjarðhegðunin væri ekki til staðar hefði verið möguleiki að slæma frumvarpið næði ekki í gegn. Í staðinn ætti hver og einn þingmaður að kjósa samkvæmt eigin sannfæringu; Til þess eru þeir kosnir!
Sumir kunna að spyrja sig hvað sé að hjarðhegðun þegar kemur að málum eins og einum hjúskaparlögum. Í fyrsta lagi eiga kjósendur skilið að vita hvað fulltrúi þeirri á þinginu finnst um ákveðið málefni og væri ágætt fyrir kjósendur að vita af hverju þeir ættu að kjósa þennan þingmann fram yfir næsta dróna á listanum. Ef þingmaðurinn þorir ekki að kjósa í samræmi við sannfæringu sína er léttilega hægt að efast um réttmæti þess að hann ætti heima á Alþingi. Í öðru lagi finnst mér mikilvægt að fá sneiðmynd af áliti þingmanna og/eða þingflokka gagnvart þeim málefnum sem mér finnst skipta máli. Ef ég væri meðlimur ákveðins flokks og sé þingmann sem hefur öndverða skoðun í málefni sem mér er annt um, þá kýs ég hann alls ekki næst þegar hann býður sig fram í prófkjöri. Og að lokum vil ég sjá þingmenn ræða málin á þingpalli út frá sannfæringu sinni með það að markmiði að sannfæra sína eigin flokksmenn, og jafnvel þingmenn í öðrum flokkum, um að greiða atkvæði á sama veg og hann sjálfur. Eins og Alþingi er núna fer mestallur ræðutíminn í að tala til kórsins eða skammast í öðrum þingflokkum. Til hvers að ræða málin með eldheitri sannfæringu þegar stjórnin er þegar búnir að semja um atkvæðagreiðslurnar?
Einhverjir eru haldnir þeirri hugsjón að ríkisstjórn án hjarðhegðunar (ahemm! ég meina: einróma í öllum málum) geti ekki komið neinu í gegn. Samkvæmt mínum skilningi er ríkisstjórnin hluti af framkvæmdavaldinu og á því, stjórnarskrárlega séð, ekki að hafa bein ítök yfir löggjafarvaldinu. Fræðilegt hlutverk ríkisstjórnar er að sjá um og hafa eftirlit með framkvæmdavaldinu í samræmi við lög Alþingis. Þegar framkvæmdavaldið semur sínar eigin reglur (lög) og kemur þeim í gegn á Alþingi vegna stöðu ráðherra í löggjafarvaldinu eru of mikil völd sett á hendur fárra einstaklinga. Ástæðan er einfaldlega sú að eftirlitsaðilarnir sjá um að setja sér reglurnar og það ástand er afar hættulegt. Löggjafarvaldið og framkvæmdavaldið eru hér rosalega samtvinnuð og bjóða hér upp á þá spillingu sem hefur viðgengist á Íslandi í a.m.k. nokkra tugi ára. Ríkisstjórn Samfylkingar og Vinstri Grænna er bara nýtt andlit á gömlu skipulagi sem þeir ætla sér að viðhalda.
Permalink
07.20.10
Posted in Almennt at 21:38 ritaði Svavar Kjarrval
Í netbanka Landsbankans, Einkabankanum, má finna reglulegar áminningar um skipta ætti um lykilorð. Í tilefni af því að ég fékk mér forrit sem er sérstaklega hannað til að geyma lykilorð ákvað ég að breyta lykilorðinu mínu í Einkabankanum. Á lykilorðabreytingasíðunni rakst ég hins vegar á nokkrar reglur um það hvernig lykilorðin eiga að vera samsett.
- Lykilorð verður að vera minnst 8 stafir á lengd, hámarkslengd er 16 stafir.
- Lykilorð má ekki innihalda aðra stafi en bókstafi og tölustafi.
- Það má ekki innihalda séríslenska stafi (á, ð, é, í, ó, ú, ý, þ, æ, ö).
- Það má ekki innihalda eingöngu bókstafi.
- Það má ekki byrja á tölustaf.
- Sami stafur má ekki koma fyrir oftar en tvisvar í röð.
Hver sem hefur kynnt sér tölfræði ætti að geta séð að hér er um að ræða fáránlegar reglur og virðast sumar þeirra ekki þjóna neinum tilgangi. Aðaltilgangurinn með svona vörnum er aðallega sá að minnka líkur á að hægt sé að giska á lykilorðin með hreinni ágiskun og síðan koma í veg fyrir skipulagðar tilraunir til að komast að lykilorðunum. Í þetta sinn munum við hunsa auðkennislykilinn þar sem rökin koma honum ekkert við.
Eitt af því sem venjulega er hunsað er sá möguleiki að einhver óheiðarlegur komist inn í netþjóna bankans og nái eintaki af lykilorðum viðskiptavinanna. Þar sem lykilorðin eru geymd í dulkóðuðu formi þurfa ræningjarnir að annaðhvort afkóða lykilorðin eða nota „brute force“ aðferðir sem ganga út á að láta forrit athuga með hverja mögulega samsetningu tákna þar til þeir hitta á lykilorðið. Við gerum ráð fyrir að þeir þurfi að framkvæma þetta þannig að þeir þurfa að ná í dulkóðuðu skrárnar og brjóta lykilorðin hjá sér. Ef þeir reyna að millifæra peninga beint af netþjónum bankans mun komast upp um þá of fljótt og hagnaður þeirra verður miklu minni en ella.
Nú eru ræningjarnir með lykilorðaskrána og neyðast til að brjóta lykilorðin með ágiskunaraðferðinni. Hversu margar ágiskanir tæki það forritið sem þeir keyra áður en það hittir á hvert lykilorð? Skv. prófunum mínum í Einkabankanum skipta háir og lágir stafir ekki máli svo við munum gera ráð fyrir því fyrirkomulagi. Hver ágiskun prófar eina samsetningu af leyfilegum táknum og sér síðan hvort hún gengur upp. Hvernig það er staðfest fer eftir aðstæðum en oftast nær er það hægt án þess að reyna að tengja sig inn á Einkabankann. Því fleiri mögulegar samsetningar af táknum, því lengur tekur það ræningjana að brjóta lykilorðið.
Gerum ráð fyrir að efstu tvær reglurnar sé þær einu sem gilda og að allir viðskiptavinirnir noti 16 stafa lykilorð og í boði eru allir bókstafir í íslenska og enska stafrófinu auk tölustafa. Þetta væru þá 46^16 (46 í 16. veldi) mögulegar samsetningar af stöfum. Ræningjarnir þyrftu samt sem áður að prófa einnig allar samsetningar fyrir 8, 9, 10, 11, 12, 13, 14 og 15 stafi líka en í dæmunum er ekki tekið á því. Til að reikna það út þyrfti að margfalda 46^16 með 46^15 og svo framvegis niður í 8. veldi. Upp á besta samanburðinn miða ég við 16 stafa lykilorð.
Segjum að viðskiptavinir bankans fái síðan fyrirmæli um að þeir verði að breyta lykilorðunum sínum því þriðju reglunni var bætt inn og nú geta þeir ekki notað séríslenska stafi (á, ð, é, í, ó, ú, ý, þ, æ, ö) sbr. hér að ofan. Bara með þessari reglu fækkaði samsetningunum niður í 36^16 sem er um 1,98% af 46^16. Ef lengdir upp á 8 til 15 stafi séu einnig teknar með í útreikningana er óhætt að álykta að hlutfallið minnkar enn þá meira.
Til að draga greinina ekki óþarflega á langinn með sífelldum útreikningum læt ég mér nægja að nefna að hver regla takmarkar fjölda samsetninga enn frekar. Eftir að hafa reynt að hugsa út í ástæðurnar fyrir hverri reglu datt mér ekki í hug nein réttlætanleg ástæða fyrir þessum takmörkunum. Tækninni hefur fleygt fram og er engin ástæða til þess að undanskilja séríslenska stafi og (nær) engin ástæða til þess að takmarka lykilorðin heldur við latneska bókstafi og tölustafi. Auk þess tel ég óhætt fyrir bankann að heimila lengri lykilorð en 16 stafi. Það mætti halda að bankinn sé enn á þeim tíma þegar Þjóðskráin hafði 32ja stafa hámark á nöfnum fólks í tölvukerfinu sínu (sem nú hefur verið hækkað í 256 stafi).
Kostir reglanna
Þó eru 1 þáttur í stefnunni sem ég get verið sammála en hann er lágmarkslengd lykilorða (8 stafir). Það tekur í mesta lagi nokkrar sekúndur á venjulegri heimilistölvu að brjóta lykilorð sem eru með færri en 8 stafi. Hinir takmarka mögulegar samsetningar að einhverju leiti. Önnur regla sem ég er hálfsammála er 4. reglan; Þó hún sé takmarkandi þá hefur hún þau áhrif að viðskiptavinurinn getur ekki notað þekkt orð eða skammstafanir en ég er þá ósammála henni vegna þess að reynslan hefur sýnt að notendur almennt setja einfaldlega tölustafi fyrir aftan venjuleg orð og forrit ræningjanna getur sett þau lykilorð í forgang.
Ókostir
Farið hefur verið ofan í útreikningana vegna 3. reglunnar sem virðist ekki vera byggð á neinni tæknilegri ástæðu. Þar sem lykilorðin eru geymd dulkóðuð ætti það ekki að hafa nein áhrif hvað varðar stafasett inn í lykilorðagrunninum. En tilgátan mín er sú, að fyrst háir og lágir stafir skipta ekki máli, að forritið sem tekur á móti lykilorðum breytir öllu lykilorðinu í lágstafi (eða hástafi). Íslensku stafirnir séu síðan bannaðir því forrit bankans notar innbyggða skipun til að breyta lykilorðastrengnum í lágstafi (eða hástafi). Sú skipun styður ekki íslenska stafi og forritararnir hafi einfaldlega ekki nennt að bæta við stuðningnum.
5. reglan er nokkuð heimskuleg og virðist ekki þjóna neinum tilgangi nema til að takmarka fjölda samsetninga. Af hverju mega lykilorð ekki byrja á tölustaf? Er það til að koma í veg fyrir að einhver geti sett lykilorð sem eru eingöngu tölustafir? Með því að hafa ekki slíka takmörkun væri bankinn að tefja ferli ræningjanna með því að láta þá prófa fleiri samsetningar en þeir þurfa. Ræningjarnir myndu auðvitað láta forritið prófa öll lykilorð sem reglurnar leyfa og þar á meðal lykilorð sem væru eingöngu tölustafir. Með því að setja þessa reglu hefur Landsbankanum tekist að auðvelda verk ræningjanna því það mun taka þá töluvert styttri tíma en ella. Til samanburðar myndi þessi regla orsaka það að ræningjarnir væru næstum helmingi fljótari að komast að 16 stafa lykilorði en ef reglan væri ekki í gildi.
Tilgangur 6. reglunnar er líklegast til að koma í veg fyrir of margar endurtekningar á sama staf. En eins og 5. reglan er hér bara um sýndaröryggi að ræða. Mögulegum samsetningum fækkar en þó má deila um það hvort það borgi sig fyrir ræningjana að innleiða þessa reglu en það fer aðallega eftir því hversu langan tíma hver tilraun tekur og hversu mikið vinnslan eykst ef reglan er innleidd í forritið. Þó er betra að eyða vafanum og láta ræningjana þjást aðeins meira.
Lykilorðastefna Landsbankans á heima í fortíðinni og óska ég hér með eftir hann taki upp vitræna stefnu sem fyrst.
Permalink