Passord som sikkerhetstiltak

Passord er et sikkerhetstiltak for å bekrefte at du skal gis tilgang til en konto, en tjeneste eller noe annet. Har du det riktige passordet kommer du inn – har du ikke det riktige passordet blir du nektet tilgang.

Teknologien gjør oss sårbar

Teknologien har gjort livene våre enklere, men også mer sårbare. Hva hvis noen kan utgi seg for å være deg? Hva hvis noen kom seg inn på dine kontoer og stengte deg ute? Konsekvensene kan bli svært alvorlige dersom vi mister våre digitale tilganger. 

Ett av tiltakene for å hindre dette har vært å bruke passord. Tradisjonelt har passord vært en rekke med tall, symboler og bokstaver bare den enkelte bruker skal kjenne til.

Svakheten er selvsagt at passord kan gjettes. Brukt alene og ved feil bruk er passord et svakt sikkerhetstiltak. Problemet er at vi ikke er særlig flinke til å velge sterke passord. Vi liker passord som er lette å huske. Vi velger gjerne navn på kjærester, barn, fotballag, kjæledyr, fødselsdatoer, enkle kombinasjoner som «123456» og «passord».

Den enkleste veien til å få adgang til et system eller en tjeneste er å bruke passord. Derfor er våre passord høyt på ønskelista til de som ønsker å komme seg inn i digitale systemer de ikke skal ha tilgang til.

Vi bruker det samme passordet flere steder

Folk som bryter seg inn i digitale systemer vet at vi er vanedyr og de samler vanlige passord i lister. Når de vil bryte seg inn i et system prøver de gjerne passordene på listen først. En datamaskin kan prøve tusenvis av slike passord med alle sine varianter på et øyeblikk. Som regel er det noen som har valgt et passord på listen. Erfaring tilsier også at vi liker å bruke det samme passordet flere steder fordi det gjør det lettere å huske. Ett funnet passord prøves derfor gjerne flere steder og én tapt konto kan fort bli flere.

Hvordan får hackerne tak i passord

De vanligste metodene for å få tak i passord er gjennom å «hacke» store samlinger av passord. Som for eksempel da LinkedIn-brukere fikk eksponert sine brukernavn og passord i 2012. Hackerne brøt seg inn hos LinkedIn og hentet ut store mengder med brukernavn og passord som senere ble misbrukt til å begå nye datainnbrudd eller til annen kriminell virksomhet på nett.

Slike databaser med brukernavn og passord er bygget opp over lang tid og gjør at den enkelte av oss på et eller annet tidspunkt kommer til å havne i disse databasene. Det er kanskje ikke så farlig, dersom du har byttet passord og ikke lenger bruker det som ligger i databasen. Men hvis du finner passord du bruker i dag, bør du bytte så fort som mulig. 

Sosial manipulering

En annen måte vi som brukere mister passordene våre på er at vi blir lurt til å gi dem fra oss gjennom sosial manipulering. Vi lures til å bruke brukernavn og passord på et nettsted som utgir seg for å være noe det ikke er, der hensikten er å fange opp våre brukernavn og passord.

Passord kan også «knekkes» ved hjelp av dataverktøy som forsøker alle mulige kombinasjoner av ord, bokstaver, tall og symboler. Dette kan ofte være enkelt dersom passord bare består av noen få tegn og har enkle kombinasjoner (kjæledyr, navn og 12345 som passord) Jo lengre og mer komplekst passordet er, jo vanskeligere er det å knekke ved hjelp av dataverktøy.

Passord er noe som forvaltes av oss selv som brukere. Derfor bør du selv bidra til at passordene dine er så gode og sikre som mulig.

Hvordan beskytte seg

Passord og måten vi bruker dem på er ikke alltid et fullgodt beskyttelsestiltak. NSM anbefaler at du bruker passord i kombinasjon med noe annet. Det betyr at i tillegg til passord, også må vise frem noe du har. De vanligste variantene av slike gjenstander er fysiske sikkerhetsnøkler, sikkerhetsbrikker eller mobil-apper som lager engangskoder.

Dette er 2-faktor autentisering eller totrinnsbekreftelse. Det gir et ekstra lag med sikkerhet og gjør det vanskeligere for uvedkommende å få urettmessig tilgang.  Sikkerheten øker betraktelig og det anbefales at du aktiverer totrinnsbekreftelse der hvor det tilbys.

Her er våre råd/anbefalinger til hvordan du kan forbedre sikkerheten din ved gode passordrutiner:

NSMs anbefaling for enkeltindivider

  • Bruk to-faktor autentisering der det tilbys
  • Bruk unike passord (ett passord pr tjeneste)
  • Bruk passordhåndteringsprogrammer
  • Privat kan du også lage en passordliste med penn og papir, men beskytt dokumentet som et verdipapir
  • Alltid bytt standardpassord på produktene du kjøper
  • Du kan også sjekke om ditt brukernavn og passord kan være tilgjengelig for andre ved å bruke tjenesten ';--have i been pwned?
  • Bruk sterke passord som er vanskelig å gjette/knekke

Et sterkt passord er et passord som ikke lett lar seg gjette eller knekke av mennesker/datamaskin. For å få til dette er lengde og kompleksitet avgjørende.

Et veldig sterkt passord kan derfor være

Ad si17#¤rO Ple,()!#?-ZCWEerg?`^&

Men slike passord kan være upraktisk å benytte. Ikke bare er de vanskelige å huske, men ett feil tastetrykk gjør at du må starte på nytt. En passordfrase eller en setning kan derfor være enklere å benytte, samtidig som det er et sterkt passord.

Jæ liker mei faktisk på ærbe

Her lager vi et passord med dialekt, mellomrom og skrivefeil. Se også Nettvett.no sin veileder "Slik lager du sterke passord".

NSMs anbefaling for virksomheter

  • Innfør to-faktor autentisering
  • Unngå at passord lagres i klartekst
  • Innfør rutiner for å kontrollere nye passord mot mye brukte og kompromitterte passord
  • Innfør rutiner for å bytte standardpassord på nytt utstyr
  • Gi brukere som trenger administratorrettigheter to kontoer

Det finnes også tjenester som https://haveibeenpwned.com/ der domeneeiere og IT-administratorer kan få varsler dersom en epost-adresse i domenet dukker opp i en lekkasje.