Ti millioner svenske passord på avveie:Er passordet ditt avslørt?
Nå kan du sjekke selv.
RÅD FRA NSM: – Skriv ned passordene med penn og papir
Nasjonal sikkerhetsmyndighet (NSM) gikk denne uken for første gang ut med råd om passord til menigmann. Nedenfor er en forkortet utgave, skrivet i sin helhet finner du her.
«Passordkrav fra arbeidsgiver til den enkelte (…) tar ofte kun høyde for det ene passordet til arbeidsplassens systemer, og glemmer at nordmenn har et behov for mellom 15-20 unike passord. (…) Strenge sikkerhetsregler som følges, kan gi bedre sikkerhet. Men strenge sikkerhetsregler som ingen greier å følge, gir dårligere sikkerhet.»
Faren for at passordet ditt på ett eller annet tidspunkt kommer på avveie, er ifølge NSM stor.
Bruk 2-faktor autentisering
To-faktor autentisering er autentisering med noe man vet og noe man har, for eksempel et passord og en kodebrikke.
Bruk unike passord for ulike tjenester
NSM anbefaler at du går til Nettvett for gode råd om blant annet det å lage sterke passord.
Skriv gjerne ned passordene
Listen bør behandles som et verdipapir, og beskyttes deretter. Den bør heller ikke ligge synlig i nærheten av din datamaskin.
Velger du å skrive ned passordene dine, så gjør det med penn og papir. IKKE lagre dem som en fil på datamaskinen. Et annet alternativ er å bruke et passord-håndteringsprogram.
Rådet om å skrive passordene ned vil komme overraskende på noen, «men spør deg selv: greier vi å huske 15-20 unike passord som skal være av en viss kompleksitet og lengde?»
NOEN RÅD OM PASSORD
1.Passord skal være lange, komplekse og «uvanlige». Ingen andre i verden bør kunne ha valgt samme passord som deg.
2. Passord kortere enn ti tegn regnes som svake. Vanlige angrepsformer i dag kan teste milliarder av kombinasjoner og knekke kortere passord raskt. Flere tegn med variasjon: store og små bokstaver, tall og spesialtegn i et passord, eller mange ord i en passord-frase du lett kan huske, gjør det vanskeligere for angripere å gjette riktig kombinasjon.
3. Tjenester som inneholder mest sensitiv informasjon bør ha særlig høy passordsikkerhet. Eksempler: jobb-passord, e-post, helseopplysninger.
4. Bytt ikke et godt passord om det ikke er noen grunn til det.
Kilder: Anne-Marie Eklund Löwinder og rapporten Lösenord för alla (IIS).
– Det er ingen grunn til å tro at dette ikke også gjelder norske brukere i samme grad som svenske, sier forsker ved Institutt for informatikk ved Universitetet i Oslo og medlem av regjeringens personvernkommisjon, Gisle Hannemyr, til ABC Nyheter.
Svenske SVT har samlet inn alle lekkede, hackede og uforsvarlig lagrede passord og brukernavn. Dermed kan du sjekke om du er blant de som ikke lenger har et hemmelig passord.
Dette er særlig viktig dersom du, i likhet med mange, men imot alle ekspertenes råd, bruker samme passord flere steder.
Les også: Din e-post er mål for kriminelle
Datainnbrudd
SVT har funnet 10 millioner kontoer rundt om i verden med «svenske brukere». Den inneholder altså også norske brukere, men om du ikke ligger inne i databasen betyr det dessverre ikke at du er sikker.
SVT har funnet passordene til alt fra kjente journalister i alle de store mediene i Sverige, politikere, ansatte i domstolene, studenter og skuespillere til politifolk.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenSjekk om ditt passord er stjålet
– Passordene later til å stamme fra ymse datainnbrudd rundt om i verden der passord-databaser har blitt stjålet. Estimater tilsier at på verdensbasis er omkring 2 milliarder passord på avveie som stammer fra slike innbrudd og siden dette i første rekke handler om internasjonale nettsider (Adobe, Dropbox, LinkedIn, MySpace, Tumblr, Yahoo) rammes nettbrukere i alle land likt, forteller Hannemyr.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenLes også: – Tvungent passordbytte er direkte skadelig
Stjålet betyr ikke knekket
Han påpeker imidlertid at selv om listen over passord har blitt stjålet fra nettsteder, betyr ikke det nødvendigvis at passordene er kompromittert.
– Noen av de stjålne passord-databasene består av saltede passordavtrykk - noe som vanskeliggjør arbeidet med å finne passordet, mens andre (som f.eks. Adobe) inneholdt krypterte passord som er trivielle å knekke, forklarer Hannemyr.
Artikkelen fortsetter under annonsenAt passordene er saltede betyr at de er tillagt et tilfeldig «salt» før det blir beregnet et passordavtrykk. Dersom man ikke salter før passordavtrykket beregnes vil to like passord også se like ut etter at man har beregnet avtrykkene og de blir dermed mye enklere å knekke. Mens to like passord som får tilsatt et tilfeldig salt vil derimot være ulike etter beregning av avtrykk og hvert enkelt avtrykk må derfor knekkes individuelt.
Effekten er at det vil kreve svært mye mer datakraft og ta mye lenger tid (flere hundre år dersom man benytter riktig algoritme) for å få tak i et eneste passord, selv om man har tilgang til en stor database med stjålne passordavtrykk.
Les mer om salting og nøkkelgenerering hos bloggen til Norsk sikkerhetsmyndighet: Salting av passord
Men Hannemyr understreker:
– Har man en Adobe-konto og har ikke endret passordet siden oktober 2013 bør man endre det umiddelbart - og det samme gjelder dersom man bruker samme passordet på Adobe-kontoen og andre kontoer.
Les også: Passordene du bør unngå
Se også:
Les saken: 340 millioner brukere tatt med buksene nede etter hackerangrep
Oppdatert: Har endret avsnittet om salting av passord.