av Roar Thon

Passord er noe alle teknologibrukere må forholde seg til, både privat og profesjonelt. Passord og administrasjonen av dem har flere teknologiske sider, som f.eks. den teknologiske beskyttelsen av passordlister m.m. Men passord har til syvende og sist en betydelig menneskelig side, da passord er noe vi som mennesker vet, har, eller er.

Man skulle tro at akademia, teknologi- og sikkerhetsbransjen hadde løst utfordringen med passord for lenge siden. Det har vært mange ulike forsøk, men utviklingen for å finne sikrere og bedre brukerløsninger fortsetter. Tilbake står vi som brukere foreløpig igjen med passordløsninger som krever både kunnskap og tid. For mange brukere er nok passord fortsatt en kilde til frustrasjon.

Mange råd om passord er veldig generelle og tar ikke høyde for at det bør gjøres en risiko og verdivurdering av hva man forsøker å beskytte. Variasjonen i sikkerhetstiltakene bør ideelt komme ut fra hvilke verdier den enkelte ønsker å beskytte og den risikoen som eksisterer og risikoen som den enkelte er villig til å ta. Men vi nok erkjenne at det er vanskelig å få enkeltindividet til å foreta slike vurderinger i hverdagen. De fleste av oss ønsker at løsninger skal være enkle og fungere slik at vi trenger å bruke minst mulig tid på dem.

Vi bruker analoge regler fra en tid hvor folk ikke en gang hadde «passord», men en pinkode til minibanken og for noen få, tallkombinasjonen til safen på kontoret. Det var det eneste vi måtte huske og som vi ikke fikk «lov» til å skrive ned. Disse reglene har vi tatt med oss over i en virkelighet som er svært annerledes.

Konkrete passordkrav fra arbeidsgiver til den enkelte bruker/ansatt tar ofte kun høyde for det ene passordet til arbeidsplassens systemer og glemmer at nordmenn har et behov for mellom 15-20 unike passord. Selv om rådene isolert sett bidrar til god sikkerhet, hindres de i realiteten av hva som er menneskelig mulig.

Strenge sikkerhetsregler som følges, kan gi bedre sikkerhet. Men strenge sikkerhetsregler som ingen greier å følge, gir dårligere sikkerhet. Sikkerhetstiltak som bare tar høyde for det sterkeste behov for sikkerhet kan fort bli vanskelig å forstå og etterleve for de som ikke opplever eller forstår behovet.

Vi ønsker at det skal være praktisk mulig for flere til å få bedre passordrutiner og sikkerhet. I forbindelse med nasjonal sikkerhetsmåned kommer vi med det vi mener er noen få viktige råd og presiseringer knyttet til passord. Det er ikke slik at disse rådene ikke er skrevet eller sagt før, men det er likevel en liten viktig endring som forhåpentligvis kommer klarere frem når du har lest dette innlegget ferdig.

  • Bruk 2-faktor autentisering

To-faktor autentisering er autentisering med noe man vet og noe man har, for eksempel en kodebrikke. Noe man vet er som regel passord. Ved å benytte noe man har i tillegg til noe man vet, gjør man det vanskeligere for angripere å utgi seg som den tiltenkte brukeren. Nettstedet kan på denne måten kan være sikrere på at kun de tiltenkte brukerne benytter tjenestene.

Umiddelbart kan det virke som om du må gjøre mer. Men du får bedre sikkerhet og det kan spare deg for mye arbeid senere, dersom passordet ditt kommer på avveie.

Sjansene for at passordet ditt på ett eller annet tidspunkt kommer på avveie, er stor. 

  • Bruk unike passord

Den vanligste måten passord kommer på avveie, er at tjenestene vi bruker blir hacket og hvor vårt passord blir stjålet sammen med millioner av andre passord. Kjente saker hvor passord er kommet på avveie er Yahoo med over 500 millioner brukere, LinkedIn med 117 og Evernote med 50. Listen over slike hendelser er lang.

Disse hendelsene kan vi ikke beskytte oss mot, men vi kan personlig redusere skadevirkningene av slike hendelser ved å bruke unike passord. Har du et unikt passord som blir hacket, trenger du ikke å bruke tid på å endre det på en rekke andre tjenester. Ser vi unike passord i kombinasjonen med to-trinns bekreftelse, vil hackingen av ditt passord på en tjeneste hvor du bruker 2-trinns bekreftelse ikke føre til at hackerne får tilgang. De har bare skaffet seg 50% av det de trenger.

Hvordan du lager deg et unikt passord finnes det mange tips og råd om. Vi anbefaler at du går til Nettvett for gode råd om hvordan du f.eks. lager dine unike passord.

Vær kreativ når du lager dem og ikke fokuser for mye på at de skal være lette for deg å huske. Det er ikke sikkert du trenger å huske alle dine unike passord. Hvorfor det? Fordi du gjerne kan gjerne skrive ned passordene dine.

  • Skriv gjerne ned passordene

Lag deg gjerne en skriftlig liste over dine brukernavn og passord på de tjenestene du bruker.

Noen få passord som du bruker ofte bør du av praktiske årsaker kunne huske. Vi anbefaler IKKE at du går rundt med en skriftlig liste over alle dine passord. Listen som du lager bør du behandle som et verdipapir og beskytte deretter. Listen bør heller ikke ligge synlig i nærheten av din datamaskin.

Velger du å skrive ned passordene dine så gjør det med penn og papir. IKKE skriv de elektronisk ned og lagre de som en fil på datamaskinen. Et annet alternativ er å bruke et passord-håndteringsprogram dersom du er komfortabel med det.

Dette er kanskje det rådet som enkelte vil reagere på. Men spør deg selv. Greier vi egentlig å huske 15-20 unike passord som skal være av en viss kompleksitet og lengde? Vi i NSM er ikke veldig overbevist om det, og da blir det å skulle huske 15-20 unike passordene kun et teoretisk råd som høres veldig sikkert ut. I realiteten er sjansen er stor for at mange bare bruker ett eller to passord på alle sine tjenester. Det gir i hvert fall høyere risiko og dårligere sikkerhet.

Vi vil likevel presisere at dersom din arbeidsgiver i sine interne regler krever at de ansatte ikke skriver ned passordene, er det arbeidsgivers policy som gjelder på arbeidsplassen.

 Gode passordrutiner er avhengig av oss selv

Veldig mye av informasjonssikkerhetsarbeidet overlater vi til andre. Tenk på alle de nettjenestene vi bruker og hvor vi stoler på at de beskytter våre verdier og informasjon på en god måte. Men noe må vi gjøre selv. Det å ha gode passordrutiner er en av de oppgavene hvor vi selv bidrar til å beskytte våre egne verdier og informasjon. Din egen innsats og adferd er med på å bidra til hvorvidt du er sikker på nett eller ikke.

Ønsker du å vite mer om hvordan du best kan lage og beskytte dine egne passord finnes det mange gode kilder.

I Norge kan du som nevnt over, få mer informasjon fra NorSIS og Nettvett 

I USA har de også kommet med noen enkle tips og råd om passord 

I Sverige er det nylig publisert en rapport om passord hvor det finnes mange likhetstrekk til Norge.  

I Storbritannia har det blitt laget noen retningslinjer og råd som i større grad henvender seg til organisasjoner og virksomheter.  (Åpner et PDF dokument)

Helt til slutt har vi i Nasjonal sikkerhetsmyndighet akkurat kommet med en ny veiledning til virksomheter om 2-faktor verifisering.  

Ha en god Nasjonal sikkerhetsmåned med sikrere passord!