Ikke bruk disse passordene – følg disse passordreglene!


passord-regler

8 av 10 passord kan knekkes i løpet av kort tid. Det er derfor essensielt viktig at du har et sikkert passord som ikke kan knekkes enkelt. Her lærer du hvordan du lager et «idiotsikkert» passord.

Passord - ikke bruk disse passordene - følg disse passord reglene

Første bud er at du lærer deg hvordan andre får tilgang til ditt brukernavn og passord, slik at du forstår hvordan hackerne går frem for å bryte seg inn i dine systemer, din datamaskin, din nettbank, din Gmail konto osv. Start derfor med å lese «Slik får andre tilgang til ditt brukernavn og passord«.

Passord på nettjenester er spesielt sårbare og kan lett hackes, fastslår også Deloitte i en rapport. Og i et eksperiment utført av teknologinettstedet Ars Technica hacket en av verdens fremste passordknekkere 82 prosent av 16.000 passord i løpet av én time.

Konsekvensene av elendige rutiner hører vi om daglig. Et eksempel er er en melding som ble sendt ut fra nyhetsbyrået AP sin twitterkontoble om at president Barack Obama var såret etter to eksplosjoner i Det hvite hus. Kontoen var hacket som følge av dårlige passordrutiner, og den oppsiktsvekkende meldingen senket børsene med 800 milliarder kroner.

Norsis og Høgskolen i Gjøvik gjennomførte i desember 2012 en passordundersøkelse i Norge.

Der fant de ut følgende om nordmenns bruk av passord:

  – Gjennomsnittlig antall private passord: 17
  – Gjennomsnittlig antall jobbpassord: 8
  – Snittlengde på passord: 8 tegn
  – 31 % deler passord med sin partner/ektefelle
  – På spørsmål om hva som er et godt passord, svarer de fleste «en blanding av tegn og bokstaver»

Nå som du vet dette, kan vi gå videre og se på de passordene hackerne først prøver seg med, og som du av den grunn må holde deg unna.

Dette er passordene hackere prøver seg med

I forbindelse med en analyse av hvordan Internet-ormen «Morto» smitter andre datamaskiner, har Sikkerhetsselskapet F-Secure avdekket av hackerne benytter seg en liste på 30 vanlige passord for å bryte seg inn på andre systemer. Listen med disse 30 passordene ga dem tilgang til over 50.000 datamaskiner.

Vi må derfor igjen advare våre lesere mot å bruke «svake» passord som er enkle å gjette seg til. Styr også unna passord som dannes gjennom et naturlig tastemønster på tastaturet – og da spesielt keypaden.

Passord listen Morto brukte er følgende passord:

  • admin
  • password
  • server
  • test
  • user
  • pass
  • letmein
  • 1234qwer
  • 1q2w3e
  • 1qaz2wsx
  • aaa
  • abc123
  • abcd1234
  • admin123
  • 111
  • 123
  • 369
  • 1111
  • 12345
  • 111111
  • 123123
  • 123321
  • 123456
  • 654321
  • 666666
  • 888888
  • 1234567
  • 12345678
  • 123456789
  • 1234567890

En undersøkelse fra 2007 gjennomført av inTechnology viser at mange av de samme ordene går igjen på begge listene.

  1. password
  2. 123456
  3. qwerty
  4. abc123
  5. letmein
  6. monkey
  7. myspace1
  8. password1
  9. link182
  10. [ditt fornavn]

Nå som du vet alt dette, kan vi gå videre og se på hvordan du bør gå frem for å velge et trygt passord.

Hvordan velge gode passord?

Styr unna passord som er enkle å tippe og passord som er en naturlig tastekombinasjon på keybordet, men selv dette er ikke nok. Det finnes 1000-vis av små programmer ute på nettet som «bruker ren makt«, også kalt «brute force», for å finne ut passordet ditt. Disse programmene begynner ofte å gjette seg frem til passord med å prøve seg på alle mulige ord i ordboka. Finnes ordet i en ordbok, så kan et passord være knekt på bare noen tideler av et sekund.

Er passordet ditt litt mer komplisert, fortsetter gjerne programmene med å gjette seg frem med alle tenkelige bokstavkombinasjoner.

Knekkes i løpet av en sang…
Hvis du bruker et passord på fem bokstaver med bare små bokstaver, så er drøyt 20 millioner kombinasjonsmuligheter.

Det høres kanskje betryggende ut, men en moderne datamaskin kan teste utrolig mange kombinasjoner per sekund. Antar vi at et program kan teste 100.000 kombinasjonsmuligheter i sekundet, noe som ikke vil være noe problem, er passordet knekt på litt over tre minutter. Passordet ditt er altså tilgjengelig for kriminelle før de har hørt ferdig Britney Spears’ «I’m a slave 4 you»…

Benytt minst åtte bokstaver i ditt passord

Det er derfor viktig å bruke passord på minimum åtte bokstaver, og passordet bør fortrinnsvis inneholde både store og små bokstaver, i tillegg til tall og spesialtegn.

Årsaken er ganske enkel: La oss si at du har et ord på åtte bokstaver. I tabellene under viser vi hvor mange kombinasjonsmuligheter du har med bare små bokstaver, små og store bokstaver, små og store bokstaver samt tall – og antall muligheter med alle tenkelige spesialtegn.

Tegn inkludert Tegn i passordet Kombinasjons- muligheter
Små bokstaver (antatt 29) 5 20,5 millioner
Små bokstaver (antatt 29) 8 500 millioner
Små og store bokstaver (58) 8 128 billioner
Små, store og tall (68) 8 457 billioner
Små, store, tall og spesialtegn
(antatt 96 – antall spesialtegn tilgjengelig kan varierer betydelig)
8 7200 billioner

Som en raskt kan se ut i fra denne tabellen, så øker antallet potensielle kombinasjonsmuligheter enormt hvis du legger inn spesialtegn.

Benytt både små og store bokstaver

Problemet med både store bokstaver, tall og spesialtegn er derimot at det ofte ikke er så enkelt å huske. Det er enklere å huske «pusekatt» enn «4j#fK0Iu» selv om det er like mange tegn.

Lag en enkel huskeregel

Skaff deg et vanskelig passord som du likevel er lett å huske gjennom en enkel huskeregel. Du kan f.eks. ta et sitat eller setning fra din favoritt sang, og plukke ut den første bokstaven i hvert ord som ditt passord.

La oss for eksempel si at du er kristen. Da vil følgende setning være enkel:

«For så høyt har Gud elsket verden, at han ga sin Sønn»

I et passord vil det kunne se slik ut: «FshhGev,ahgsS»

Der har du skapt et passord på 14 tegn som er utrolig vanskelig å gjette seg til, men enkelt å huske, som både har store og små bokstaver, i tillegg til et spesialtegn. Tall kan du enkelt legge inn hvis setningen du benytter seg også benytter seg av et eller annet tall.

Bytt ut bokstaver med tall

En annen mulighet er å ta et naturlig ord som er enkelt og huske, for så bytte ut alle bokstaver som ligner på tall med dette tallet. La oss si at du i dag bruker passordet: «HEMSEDAL«. Dette passordet kan omskrives til følgende passord:

Vi har her bare byttet ut bokstaven E med tallet 3, mens bokstaven L har blitt erstattet med tallet 1. Ved så å starte passordet med STOR bokstav, og deretter skrive alle de andre med bare små bokstaver, har vi nå fått en passord som er vanskelig å knekke, men lett å huske.

Ikke bruk ord som finnes i en ordbok eller på et språk.

Siden hackerne benytter seg av tilgjengelige ordbøker på ulike språk i sine «brute force» angrep, bør du holde deg unna vanlige ord som finnes i en ordbok – uansett språk.

Ikke bruk passord basert på personlig informasjon

Foruten alle tilgjengelige ordbøker, samler hackere ofte inn bakgrunnsinformasjon om objektet de skal angripe. Jo mer de ønsker å bryte seg inn, jo mer tid bruker de på å samle inn nødvendig bagrunnsinformasjon om deg og objektet de skal bryte seg inn i. Hackere samler inn alt fra tilgjengelig informasjon fra Facebook og andre sosislae medier, dine nettsider, offentlig informasjon om deg og objektet som skal hackes (f.eks. adresse, postnummer, telefonnummer m.m.).

Benytt derfor ikke slik informasjon som utgangspunkt for ditt passord.

Velg en vanlig ord + årstall + første stavelse av tjenesten

Nettstedet CorvusConsulting har en litt annen holdning til hvordan du potensielt kan skape et unikt passord til hvert eneste sted du registrerer deg:

Velg først ut et helt normalt ord, fortrinnsvis ikke på engelsk. Fortsette så med et årstall som har stor betydning for deg, men ikke din bursdag, og avslutt med den første stavelsen av tjenesten du skal registerer deg.

For eksempel kan det da være «brostein1994goo». Dette er altså et normalt ord, årstallet for OL på Lillehammer, og den første stavelsen av Google.

Et lignende passord kan være «brostein1994wi» på Wikipedia.

Lag naturlige spesialtegn

Vil du gjøre det enda sikrere kan du for eksempel velge å markere starten av hver stavelse med stor bokstav, og andre halvdelen av årstallet med spesialtegnet som tilsvarer symbolet på tastaturet.

Det første passordet ditt vil da se slik ut: «BroStein19)¤Goo»

Her har du et passord på 15 tegn som er veldig enkelt å huske, men som samtidig være uoverkommelig å knekke med de fleste datamaskiner. Regner vi med at du har tilgang til 96 forskjellige tegn med bokstaver, tall og spesialtegn, så er det snakk om over 540.000 billioner billioner kombinasjonsmuligheter (96^15).

Dette passordet gjør at hvis du mister passordet ditt for én tjeneste, så vil du fortsatt ha hemmeligheten din intakt for andre nettsteder. Ulempen er at det er enkelt å avsløre hvis noen først finner frem til mønsteret ditt. Det er likevel betydelig sikere enn alle standardpassord som folk flest gjerne benytter seg av.

Ikke bruk det samme passordet overalt

– Gjenbruk av passord bør man unngå. Det er greit på tjenester man ikke bruker så ofte, men hyppig brukte nettjenester bør ha et unikt passord, sier sikkerhetsekspert Per Thorsheim til DN.no.

– Noen passord bruker man sjelden. Da er det faktisk bedre å skrive ned passordene sine på et papir, fremfor å bruke det samme passordet på ulike tjenester, sier Thorsheim.

Her får Thorsheim støtte av en av de fremste sikkerhetsguruene i verden, Bruce Schneier, som har utgitt et titalls bøker om kryptografi.

Schneier mener folk stort sett er flinke til å ta vare på det som har en verdi, for eksempel penger eller kredittkort i lommeboken, og at det derfor ikke er noe i veien for å oppbevare et papir med passord.

Det ideelle  er å lage et unikt passord for hver nettjeneste. E-postkontoer er spesielt utsatt for målrettede angrep, så her bør du ha spesielt gode passord.

Bytt passord ved jevne mellomrom

Siden hackere samler inn bakgrunnsinformasjon om hva som skal hackes, og siden «brute force» er en vanlig innbruddsteknikk gjelder det å bytte passord ved jevne mellomrom slik at de ikke får tid til å teste alle mulige kombinasjoner før passordet byttes igjen. Spesielt viktig er det at du bytter passord hvis du har mistanke om at ditt passord kan ha kommet på avveie.

Hver samtidig klar over at hackere ofte setter opp «lytteposter» som prøver å snappe opp all informasjon inn og ut av en server. Kobler du deg opp på din mailkonto, ftp-konto eller FrontPage konto på en usikret sone, kan hackere meget enkelt snappe opp ditt brukernavn og passord. Deretter kommer de seg inn på dine kontoer og kan begynne å gjøre skade. Bytt av denne grunn dine passord ved jevne mellomrom.

Husk at folk er forutsigbare – det samme er du

Et stort problemet er at folk har en tendens til å gjøre det enkelt for seg selv ved å bake inn navn eller lesbare ord i passordet, samt slenge på tall på slutten, noe som gjør det langt enklere for hackerne å knekke; for eksempel: «Hege1979».

– Statistikken viser at folk vil bruke et ord eller navn i passordet sitt, første bokstav har stor bokstav, og gjerne noen tall eller årstall på slutten. På nettsider hvor det ikke stilles krav til kompleksitet, så skriver folk gjerne alt med små bokstaver og siffer på slutten, sier sikkerhetsekspert Thorsheim.

Thorsheim har følgende råd til deg som trenger et godt passord som er enkelt å huske:

La passordet være en setning som du at du klarer å huske.

Eksempel på et trygt passord som er enkelt å huske:

  • «Barna mine er 4 og 7 år gamle. Barna mine heter Kjetil og Lisa»

Lengden på passordet trumfer alt annet i dette tilfellet – med så mange tegn tar det lang tid å knekke passordet.

Ikke benytt «husk passord funksjonen» som ofte tilbys

Mange programmer tilbyr deg å «huske» passordet ditt til neste gang du logger inn, men slike programmer har ulike nivåer av sikkerhet når det gjelder å beskytte passordet. Noen lagrer denne typen informasjon i klartekst i en fil på datamaskinen din. Det betyr at hvem som helst som har tilgang til din datamaskin kan finne passordene og bruke disse videre. Derfor må du aldri benytte «huske-funksjonen» når du bruker en offentlig tilgjengelig datamaskin, for eksempel på biblioteket, internettkafeer eller en som brukes av flere der du jobber. Dessuten, på slike maskiner som brukes av flere, må du alltid huske å logge ut, iallfall lukke alle nettleservinduene, da enkelte programmer «husker» passord selv om du ikke spesifikt har bedt om det.

Pass godt på ditt passord

Ikke fortell passordet til noen og ikke skriv det opp på en lapp som du legger på kontoret, pulten eller fester til skjermen.

Ingenting er helt sikkert

Hardbarkede sikkerhetsfantaster vil påpeke at ingen av disse løsningene er helt sikre. På mange nettsteder så lagres passordet ditt i klartekst slik at bakmennene kan gå inn i systemene sine og se passordet ditt. Dette gjelder blant annet alle tjenester som gir deg muligheten til å få tilsendt passordet ditt i klartekst på mail. Det kan derfor være veldig fornuftig å bruke forskjellige passord på forskjellige tjenester.

Den løsningen mange derfor bruker er å ha forskjellige nivåer av passord. På helt meningsløse tjenester kan en registrere seg med et helt generisk passord som det ikke betyr noe om noen får tak i. Og så kan du lage deg 3-4 nivåer oppover med viktigere passord som blir vanskeligere og vanskeligere.

For eksempel kan passordet ditt på en gratistjeneste du ikke bryr deg om, men må registrere deg for å få tilgang til, bare være «vissvass», mens Facebook og E-posten din bør ha mer infløkte passord som vi har vært inne på.

De mest hardbakrede vil likevel foretrekker å bruke lange og unike passord på dusinvis av tegn, men for folk flest er det å være litt velparanoid.

En passordgenerator du kan benytte for å automatisk generere et komplisert passord finner du her.

Sikkerhetsguide

http://iktnytt.no/sikkerhetsguide/Denne artikkelen inngår i IKTnytt.no sin sikkerhets guide – skrevet for deg som ønsker å lære hvordan du sikrer din PC, Mac, server, nettbrett og smarttelefon mot kyberangrep og datainnbrudd.

Klikk her eller på iconet til høyre for å gå tilbake til sikkerhet guiden`s hovedmeny.

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: