Ti millioner svenske passord på avveie:Er passordet ditt avslørt?

Det er ingen grunn til å tro at det ikke kan være rundt ti millioner norske passord på avveie, ifølge ekspert.
Det er ingen grunn til å tro at det ikke kan være rundt ti millioner norske passord på avveie, ifølge ekspert. Foto: Colourbox
Artikkelen fortsetter under annonsen

Nå kan du sjekke selv.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

RÅD FRA NSM: – Skriv ned passordene med penn og papir

Nasjonal sikkerhetsmyndighet (NSM) gikk denne uken for første gang ut med råd om passord til menigmann. Nedenfor er en forkortet utgave, skrivet i sin helhet finner du her.

«Passordkrav fra arbeidsgiver til den enkelte (…) tar ofte kun høyde for det ene passordet til arbeidsplassens systemer, og glemmer at nordmenn har et behov for mellom 15-20 unike passord. (…) Strenge sikkerhetsregler som følges, kan gi bedre sikkerhet. Men strenge sikkerhetsregler som ingen greier å følge, gir dårligere sikkerhet.»

Faren for at passordet ditt på ett eller annet tidspunkt kommer på avveie, er ifølge NSM stor.

Bruk 2-faktor autentisering

To-faktor autentisering er autentisering med noe man vet og noe man har, for eksempel et passord og en kodebrikke.

Bruk unike passord for ulike tjenester

NSM anbefaler at du går til Nettvett for gode råd om blant annet det å lage sterke passord.

Skriv gjerne ned passordene

Listen bør behandles som et verdipapir, og beskyttes deretter. Den bør heller ikke ligge synlig i nærheten av din datamaskin.

Velger du å skrive ned passordene dine, så gjør det med penn og papir. IKKE lagre dem som en fil på datamaskinen. Et annet alternativ er å bruke et passord-håndteringsprogram.

Rådet om å skrive passordene ned vil komme overraskende på noen, «men spør deg selv: greier vi å huske 15-20 unike passord som skal være av en viss kompleksitet og lengde?»

NOEN RÅD OM PASSORD

1.Passord skal være lange, komplekse og «uvanlige». Ingen andre i verden bør kunne ha valgt samme passord som deg.

2. Passord kortere enn ti tegn regnes som svake. Vanlige angrepsformer i dag kan teste milliarder av kombinasjoner og knekke kortere passord raskt. Flere tegn med variasjon: store og små bokstaver, tall og spesialtegn i et passord, eller mange ord i en passord-frase du lett kan huske, gjør det vanskeligere for angripere å gjette riktig kombinasjon.

3. Tjenester som inneholder mest sensitiv informasjon bør ha særlig høy passordsikkerhet. Eksempler: jobb-passord, e-post, helseopplysninger.

4. Bytt ikke et godt passord om det ikke er noen grunn til det.

Kilder: Anne-Marie Eklund Löwinder og rapporten Lösenord för alla (IIS).

– Det er ingen grunn til å tro at dette ikke også gjelder norske brukere i samme grad som svenske, sier forsker ved Institutt for informatikk ved Universitetet i Oslo og medlem av regjeringens personvernkommisjon, Gisle Hannemyr, til ABC Nyheter.

Hvor mange passord har du styr på? Dersom du bare vil ha ett - da kan du heller bruke en passordtjeneste. Foto: Colourbox
Hvor mange passord har du styr på? Dersom du bare vil ha ett - da kan du heller bruke en passordtjeneste. Foto: Colourbox

Svenske SVT har samlet inn alle lekkede, hackede og uforsvarlig lagrede passord og brukernavn. Dermed kan du sjekke om du er blant de som ikke lenger har et hemmelig passord.

Dette er særlig viktig dersom du, i likhet med mange, men imot alle ekspertenes råd, bruker samme passord flere steder.

Les også: Din e-post er mål for kriminelle

Datainnbrudd

SVT har funnet 10 millioner kontoer rundt om i verden med «svenske brukere». Den inneholder altså også norske brukere, men om du ikke ligger inne i databasen betyr det dessverre ikke at du er sikker.

SVT har funnet passordene til alt fra kjente journalister i alle de store mediene i Sverige, politikere, ansatte i domstolene, studenter og skuespillere til politifolk.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Sjekk om ditt passord er stjålet

– Passordene later til å stamme fra ymse datainnbrudd rundt om i verden der passord-databaser har blitt stjålet. Estimater tilsier at på verdensbasis er omkring 2 milliarder passord på avveie som stammer fra slike innbrudd og siden dette i første rekke handler om internasjonale nettsider (Adobe, Dropbox, LinkedIn, MySpace, Tumblr, Yahoo) rammes nettbrukere i alle land likt, forteller Hannemyr.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Les også: – Tvungent passordbytte er direkte skadelig

Stjålet betyr ikke knekket

Han påpeker imidlertid at selv om listen over passord har blitt stjålet fra nettsteder, betyr ikke det nødvendigvis at passordene er kompromittert.

– Noen av de stjålne passord-databasene består av saltede passordavtrykk - noe som vanskeliggjør arbeidet med å finne passordet, mens andre (som f.eks. Adobe) inneholdt krypterte passord som er trivielle å knekke, forklarer Hannemyr.

Artikkelen fortsetter under annonsen

At passordene er saltede betyr at de er tillagt et tilfeldig «salt» før det blir beregnet et passordavtrykk. Dersom man ikke salter før passordavtrykket beregnes vil to like passord også se like ut etter at man har beregnet avtrykkene og de blir dermed mye enklere å knekke. Mens to like passord som får tilsatt et tilfeldig salt vil derimot være ulike etter beregning av avtrykk og hvert enkelt avtrykk må derfor knekkes individuelt.

Effekten er at det vil kreve svært mye mer datakraft og ta mye lenger tid (flere hundre år dersom man benytter riktig algoritme) for å få tak i et eneste passord, selv om man har tilgang til en stor database med stjålne passordavtrykk.

Les mer om salting og nøkkelgenerering hos bloggen til Norsk sikkerhetsmyndighet: Salting av passord

Men Hannemyr understreker:

– Har man en Adobe-konto og har ikke endret passordet siden oktober 2013 bør man endre det umiddelbart - og det samme gjelder dersom man bruker samme passordet på Adobe-kontoen og andre kontoer.

Les også: Passordene du bør unngå

Se også:

Les saken: 340 millioner brukere tatt med buksene nede etter hackerangrep

Oppdatert: Har endret avsnittet om salting av passord.