Meny

Råd om passord:

– Tvungent passordbytte er direkte skadelig

Sikkerhetssjef i Internetstiftelsen i Sverige, Anne-Marie Eklund Löwinder, regnes som en av Sveriges fremste eksperter på IT-sikkerhet. Foto: IIS.
* Sjekk om dine data er på avveie. * Sørg for at du bruker sterke passord, og at du bruker passord på en gjennomtenkt måte. * Vurder nye sikringstiltak. Her får du tips fra en av Sveriges fremste eksperter på IT-sikkerhet.

Noen råd om sterke passord

1.Passord skal være lange, komplekse og «uvanlige». Ingen andre i verden bør kunne ha valgt samme passord som deg.

2. Passord kortere enn ti tegn regnes som svake. Vanlige angrepsformer i dag kan teste milliarder av kombinasjoner og knekke kortere passord raskt. Flere tegn med variasjon: store og små bokstaver, tall og spesialtegn i et passord, eller mange ord i en passord-frase du lett kan huske, gjør det vanskeligere for angripere å gjette riktig kombinasjon.

3. Tjenester som inneholder mest sensitiv informasjon bør ha særlig høy passordsikkerhet. Eksempler: jobb-passord, e-post, helseopplysninger.

4. Bytt ikke et godt passord om det ikke er noen grunn til det.

Kilder: Anne-Marie Eklund Löwinder og rapporten Lösenord för alla (IIS).

– Etter å ha jobbet med passord og sikkerhet i snart 30 år, er det ikke så mye som overrasker meg lenger, sier sikkerhetssjef i svenske Internetstiftelsen (IIS), Anne-Marie Eklund Löwinder, til ABC Nyheter.

Hun har forfattet rapporten «Lösenord for alla», som nylig ble publisert. Den tar for seg svarene fra 1005 svenske nettbrukere om deres passordvaner.

Internetstiftelsen i Sverige (IIS) er en uavhengig stiftelse som blant annet driver toppdomenet for Sverige, .se. I tillegg står det i deres vedtekter at de skal drive «positiv utvikling for internett».

– Tvungne passordbytte undergraver sikkerheten

I den nylig offentliggjorte rapporten kritiserer Löwinder blant annet enkelte tjenesters stadige krav om å bytte passord.

Mange oppga i undersøkelsen at de opplevde slike automatiserte krav på jobb og fra enkelte nettjenester.

– Slike krav kommer ofte på ubeleilige tidspunkt, da man sitter med andre arbeidsoppgaver. Da vil brukerne gjerne velge det første og beste passordet de kommer på, og et de vil huske. Da blir det mange enkle løsninger, hvor «sommer2016» skiftes ut med «host2016», sier Löwinder til ABC Nyheter.

«Brukere som tvinges til å bytte passord har ofte hang til å velge svakere passord, og bytter dem siden jevnlig, men på en måte som gjør dem forutsigbare og lette å gjette», skriver Löwinder i rapporten.

«Problemet med regelmessige passordskifte er at det ikke tas hensyn til umaken forbundet med å måtte bytte passord uten annen begrunnelse enn at det har gått en viss tid, og ofte når det passer dårlig. Derfor blir det mange ganger passord som velges i all hast.»

– Når de som har svart på undersøkelsen bytter passord privat, virker det som det er gode grunner til det. For eksempel at det gamle passordet er svakt, har vært lenge i bruk eller er i bruk flere steder. På jobb er det dessverre dårligere vaner, sier sikkerhetssjefen til ABC Nyheter.

Les også:  Vi drukner i et hav av «livsviktige» apper

Er dine passord på avveie?

Rapporten «Lösenord för alla», der Löwinder er forfatter, inneholder statistikk om passordvanene til 1000 svensker, samt råd og anbefalinge for bedre nettsikkerhet.

I rapporten nevner IIS særlig alvorlige eksempler på passordlekkasjer i nyere tid. Her er et par eksempler:

  • LinkedIn 2012: 6,4 millioner krypterte passord blir lekket og offentliggjort. I mai i år ble det offentliggjort nye lister, denne gangen med 177,5 millioner krypterte passord fra 164,4 millioner unike brukere. Dette antallet stemte overens med antall LinkedIn-brukere i andre kvartal 2012.
  • Så sent som forrige uke tilbakestilte sky-tjenesten Dropbox alle passord som har vært uendret siden midten av 2012 som et «forebyggingstiltak.» Denne uka ble det som later til å være brukerinformasjon fra 68,6 millioner Dropbox-kontoer lagt ut på hacker-nettsteder. Dropbox-kilder bekrefter at dokumentene er autentiske, melder BBC News. Disse skal stamme fra et datainnbrudd i 2012.

– Dropbox-lekkasjen i 2012 skyldtes at en medarbeider hos Dropbox brukte samme passord internt, som hos LinkedIn. Og da LinkedIn ble hacket tidligere samme år kom denne ansattes passord på avveie. Dermed havnet 68 millioner Dropbox-brukeres passord i gale hender, forklarer Löwinder.

De fleste av disse var riktignok fremdeles kryptert, altså beskyttet med et ytterligere lag kode.

– Hash-algoritmene som brukes til å beskytte passord er fremdeles motstandsdyktige mot forsøk på kodeknekking. Dersom det i tillegg brukes «salt-kryptografi» [skjuler passord ytterligere ved å legge til et tilfeldig sett tilleggstegn], klarer man seg om det opprinnelige passordet var på ti tegn eller mer.

– Et passord med sju punkter, små og store bokstaver fra A til Z og siffer 0-9 (altså totalt 60 tegn), «hashet» med algoritmen SHA 256, kan med moderne prosessorer knekkes på i gjennomsnitt ett minutt, advarer Löwinder.

Les også:   – Hackere kan stjele personopplysninger mens du trener

Kontroller lister over lekkede kontoopplysninger

Med et grafikkort med seneste modell, med åtte prosessorer som jobber parallelt, kan «kodeknekker»-programmene teste 23 milliarder passord per sekund.

På nettstedet «Have I been pwned?» kan du sjekke om dine innloggingsnavn har vært omfattet av noen av de mest kjente lekkasjene de siste åra. Faksimile.

Löwinder anbefaler å kontrollere om e-postadressen man ofte bruker som brukernavn hos de store tjenestene, for eksempel Gmail og Facebook, står på listene over lekkede kontoopplysninger ved å teste tjenesten haveibeenpwned.com

– Hvis man får røde treff, betyr det at man har vært offer for en av de mest kjente passordlekkasjene og bør skifte sine passord.

Tjenesten «Have I been pwned» (slang-uttrykk fra onlinedataspill; «owned») drives av regionsdirektør hos Microsoft, Troy Hunt, som har spesialisert seg på nettsikkerhet.

Les også: Er mobilbetalinger livsfarlige?

– Hold på gode passord

Hvis du først har et godt passord, bør du holde fast ved det, anbefaler Anne-Marie Eklund Löwinder.

– Det er også viktig at man har unike passord for hver tjeneste. Da begrenser man skadevirkningen om det skulle komme en lekkasje, sier sikkerhetssjefen.

Men Löwinder medgir at det å huske ti forskjellige sikre passord er nærmest umulig.

KeePass er en av passordverktøyene man kan laste ned gratis, og fungerer som et verdiskap for dine passord. Foto: Linux Screenshots/xmodulo.com/Flickr.com (CC BY 2.0)

– Selv hadde jeg vært helt fortapt uten mitt program for passordhåndtering. Det kan sammenlignes med et verdiskap, som både hjelper deg å skape sterke passord og oppbevarer passordene dine på en sikker måte. Det eneste passordet man behøver huske med en slik løsning, er det ene til passordverktøyet.

Det finnes en rekke slike programmer. KeePass er en variant med åpen kildekode særlig egnet for Microsoft Windows.

Her har PC Magazine en gjennomgang av årets bestepassordverktøy, i en artikkel fra august.

Löwinder skriver i rapporten at det dessverre gir dårlig sikkerhet å la nettleseren lagre dine passord hos ulike tjenester.

«I for eksempel Firefox og Chrome er ikke passordene å betrakte som hemmelige. De lagres i klientprogrammet og kan avleses som vanlig tekst. Selv i Internet Explorer lagres passordene. Men det går ikke an å vise dem på samme enkle måte, og det er kanskje noe mindre behov for ekstra beskyttelse.»

Les også: Stoler vi ikke på USA?

Löwinders tips for enkel kryptografi!

Slik kan du lage deg en «oppskrift» for passord:

«Ta utgangspunkt i en setning du selv kan huske. Siden forvandler du den til det ugjenkjennelige. La oss si du har valgt frasen «Endelig sto presten på prekestolen». Ta de to første bokstavene i hvert ord. La den første bokstaven i hvert ord være stor: EnStPrPåPr. Nå gjelder det å få inn noen spesialtegn og tall. Velg gjerne noe som ikke er intuitivt, som vil være vanskelig for andre å gjette. Man kan bytte ut bokstaven E mot tallet 4, bokstaven P mot # og legge til tall i etterkant som forteller hvor mange ganger bokstavene T og S fantes i den opprinnelige frasen. Da blir passordet 4nSt#r#å#r3t3s

Hvis dette virket komplisert, kan man ty til for eksempel en fullstendig setning skrevet på sin egen dialekt. For eksempel følgende tungeøvelse fra Hedmark; «en hælv kælv lå i ælva å flaut». På grunn av lengden og de mindre vanlige dialektformene, vil dette gi ganske god beskyttelse.

– Da deltakerne i undersøkelsen ble bedt om å fortelle hva de mener kjennetegner et godt passord, nevnte de typiske ting som at det ikke skal kunne knyttes til ens egen person, være tilstrekkelig langt og eventuelt inkludere spesialtegn, sier Löwinder.

Dessverre viste spørreundersøkelsen også at mange ikke bruker denne kunnskapen i praksis.

– Det var også overraskende at såpass mange deler passord med andre, cirka 25 prosent i undersøkelsen.

Det forekommer at folk misbruker partnerens passord for å «ta hevn eller gjøre skade». Så det gjelder å aldri avsløre sitt passord, mener sikkerhetssjefen.

Les også:  Biologisk bank-ID kan være dødelig

Nye sikringstiltak

Spørsmålet er om det å kun bruke passord for å sikre sine data er på vei ut.

– På sikt bør vi etterstrebe tofaktors-autentisering. Den ene faktoren kan være et passord, det andre en engangsnøkkel man får tilsendt for eksempel til mobil, sier Löwinder.

Facebook er blant tjenestene som tilbyr tofaktor-autentisering. Illustrasjonsfoto: Colourbox.com

Altså samme prinsipp de fleste vil kjenne fra nettbank. Google, Dropbox, Facebook og Instagram er blant tjenestene som allerede tilbyr slike passordløsninger.

– Er det ikke mye plunder med en slik to-trinnsinnlogging for et titalls tjenester?

– Selv er jeg såpass lutret av alt jeg har sett gjennom min karriere at denne ulempen er jeg beredt til å akseptere. Konsekvensene av å få sine kontoer hacket har blitt så store, og det tar så mye tid å vinne tilbake sin identitet straks den er stjålet, sier Löwinder.

– På vårt nettsted har vi mange tips om digitalt selvforsvar, for eksempel om hvordan man kan starte med TOR (anonym surfing), PGP ( kryptert epost), og Tails, som er et sikrere operativsystem. Vi har mange guider som fokuserer på sikkerhet og digitalt selvforsvar, avslutter hun.