Fagstoff

Behandle passord

Publisert: 04.09.2013, Oppdatert: 05.03.2017
  • Innbygg
  • Enkel visning
  • Lytt til tekst
  • Skriv ut
Forstørrelsesglass

Et passord gir selvsagt bare sikkerhet så lenge ingen kan gjette eller få tak i det på noen måte. Siden sikkerheten ofte er avhengig av at passord er hemmelige, er det viktig å være bevisst på hvordan passord beskyttes.

Hvordan en angriper forsøker å ta seg forbi en passordbeskyttelse, vil variere etter hva slags passord det er snakk om, men i de fleste tilfeller må den som ønsker å bryte seg inn, på en eller annen måte finne ut hva passordet er. For å gjøre dette kan angriperen

  • spørre brukeren hva passordet er
  • finne en lapp eller annet hvor brukeren har skrevet ned passordet
  • forsøke å gjette passordet
  • installere programvare som logger hva brukeren skriver på tastaturet
  • bruke programvare som «knekker» passordet

Spørre brukeren om passordet
Det kan høres utrolig ut, men den mest effektive måten å få tak i et passord på er ofte ganske enkelt å spørre brukeren. Typisk vil en angriper utgi seg for å være noen som brukeren tror at han kan stole på. En vanlig framgangsmåte har vært å si at man ringer fra en systemleverandør eller virksomhetens it-avdeling. Den som ringer, vil vanligvis forsøke å gjøre brukeren usikker ved å fortelle at man har oppdaget at noen forsøker å misbruke brukerens konto, at maskinen er infisert av et alvorlig virus eller noe annet som virker skremmende. Hvis den som tar kontakt, virker overbevisende nok, tør ofte ikke brukeren gjøre noe annet enn det vedkommende sier, og da er veien til å spørre om passord kort.

Den mest effektive måten å få tak i et passord, er å spørre om det. Det skjer ofte over telefonen.Den mest effektive måten å få tak i et passord på er å spørre om det. Det skjer ofte over telefonen.
Fotograf: Anders Wiklund
 

 

 

Linkedin passord6,5 millioner passord for LinkedIn-brukere lekket ut som følge av hacking i 2012.
Fotograf: Ted Soqui
 

 

 

KonvoluttAdministrative passord til en virksomhets servere kan sikres ved for eksempel å legge dem i en konvolutt i en safe.
Fotograf: Berit Roald
 

 

 

 

Par som kysserUnngå å bruke navn på kjæreste, foreldre, barn eller personer i vennekretsen din som passord.
Fotograf: Frank Rothe
 

 

 

 

Lag deg en regel som gjør det lettere å huske passordet ditt.Lag deg en regel som gjør det lettere å huske passordet ditt. 

Denne framgangsmåten kalles gjerne for social engineering, og er en mer direkte form for phishing – nettfisking – som vi skal komme tilbake til litt seinere i dette kompetansemålet.

Lenke: Svindlere med falsk PC-hjelp (artikkel på Telenor online)

Skriv ned passord

Du har sikkert hørt historier om brukere som skriver passordet sitt på en lapp og fester det på skjermen eller legger det under tastaturet. Selv om det sikkert har forekommet noen slike tilfeller, forstår de fleste at hensikten med passord forsvinner hvis det er så enkelt å finne.

Problemet er likevel at de fleste må forholde seg til en rekke ulike passord og koder, og mange føler at de må skrive dem ned et sted for å være sikre på å huske dem.

I motsetning til det du kanskje har hørt eller lest tidligere, er det ingenting i veien for å gjøre dette, og i mange tilfeller er det faktisk nødvendig. Å skrive ned passord for å huske dem er ikke et problem før noen finner dem.

Mange av passordene vi bruker til daglig, behøver vi imidlertid ikke å taste inn hver gang, for programmene husker dem for oss. Det gjelder for eksempel mange internettjenester, e-post og brukerprogrammer.

Når du først har tastet inn passordet én gang, blir du ikke spurt om det igjen. Men hvis du seinere får en ny maskin eller oppgraderer programvaren, blir du spurt om passordet på nytt.

Da kan det være måneder eller år siden sist du skrev det, og sjansen for at du husker det, er minimal. Faktisk kan de fleste av oss få problemer med å huske et passord vi ellers bruker daglig, hvis det går noen uker uten at vi har bruk for det – for eksempel fordi vi har vært på ferie.

Å skrive ned passord er altså et fornuftig tiltak. Det er hvordan du oppbevarer lappen med passordene, som er vesentlig for sikkerheten. På samme måten som bankkortkoden ikke skal legges sammen med bankkortet, skal ikke passordene finnes i nærheten av datamaskinen. Du vil uansett ikke ha bruk for dem så ofte at de må finnes i umiddelbar nærhet. 

En annen side ved passordbehandlingen er de administrative passordene for virksomhetens tjenere. Disse passordene må alltid skrives ned slik at det er mulig å få tilgang til systemene hvis det skulle skje en ulykke eller annet som gjør at administrator ikke er tilgjengelig.

Disse passordene krever selvsagt spesiell sikring, og det er anbefalt å skrive dem på et ark som legges i en forseglet konvolutt i for eksempel en safe eller en bankboks. Videre må det selvsagt finnes en rutine som sikrer at man også bytter passordet i konvolutten når passordet i datasystemet blir endret.

Valg av passord

Alle anbefalinger om passord sier at du bør velge et passord som består av usammenhengende bokstaver, tall og tegn. Slike passord er umulige å gjette og vanskeligere å knekke på andre måter. Problemet er bare at de også er vesentlig vanskeligere å huske. Derfor vil de fleste bruke et passord som har betydning for dem, og som er lettere å huske.

Det er gjort flere undersøkelser om hva som er de mest brukte passordene. Passordene i lista under står i tilfeldig rekkefølge:

  • «Passord», «Password», «Secret»
  • tastaturmønster som «qwerty», rekkefølger som «abc123» eller gjentakelse av det samme tegnet – for eksempel «aaaaa»
  • eget navn eller navn på familiemedlem
  • fødselsdag eller telefonnummer
  • navn på kjæledyr
  • navn fra kjente filmer, tv-serier eller romaner
  • navn på popstjerner, filmskuespillere, idrettsutøvere, fotballag eller tegneseriefigurer
  • navn på øl eller spritmerker
  • måneden passordet ble skiftet
  • datamaskinmerket

Hvis angriperen vet litt om den personen som eier maskinen, er det altså ikke umulig å gjette passordet. Uansett bør du unngå passord fra lista over siden disse er de første som vil bli forsøkt.

Videre vil mange bruke det samme passordet til flere tjenester, slik at hvis noen får tak i passordet til én tjeneste, får de også tilgang til andre tjenester.

I de fleste serversystemer er det mulig å sette en grense for hvor mange mislykkede innloggingsforsøk man kan gjøre før kontoen blir sperret og må tilbakestilles av en administrator før den kan brukes igjen. Men det gjelder ikke alle internettjenester.

En angriper kan derfor i fred og ro forsøke å gjette en persons passord til en internettjeneste som ikke oppfattes som viktig. Og hvis personen har brukt det samme passordet til andre tjenester, er det fritt fram.

Du bør derfor vurdere hvilken grad av sikkerhet som er nødvendig for ulike tjenester og systemer. Du trenger forskjellige passord for viktige programmer, dokumenter og internettransaksjoner som involverer pengeoverføringer eller overføring av personlig informasjon.

Hva er et godt passord?

  • Passordet bør være minst sju tegn langt, men gjerne lengre. Det er først og fremst lengden som gjør et passord vanskelig å knekke. 
  • Passordet bør være en blanding av store og små bokstaver, tall og spesialtegn. (Store og små bokstaver oppfattes som to ulike tegn av datamaskinen og gjør derfor passordet sterkere.)
  • Passordet bør ha minst fem ulike tegn.
  • Passordet bør være en tilsynelatende tilfeldig blanding av tegn.
  • Passordet bør ikke være et forståelig ord.
  • Passordet bør ikke inneholde hele eller deler av påloggingsnavnet ditt.

Bokstavene æ, ø og å kan godt brukes i passord. For alle som ikke bruker norsk tegnsett, vil de bli oppfattet som spesialtegn og gjøre at passordet blir vanskeligere å knekke. Men hvis du reiser utenlands og for eksempel skal sjekke e-posten din via Internett, kan det også bli et problem når du skal skrive inn passordet ditt på et tastatur som ikke har norske tegn.

Hvordan huske passord?

En måte å gjøre passord lettere å huske på uten at det blir lett å gjette, er at du tar utgangspunkt i en setning og så oversetter den til en passende kode som bare du kjenner. For eksempel kan setningen «Jeg har bursdag den 12. mai» kodes om til «Jhbd12.m» ved at du tar den første bokstaven i hvert ord, alle tegn (i dette tilfellet punktum) og tall. Dermed har du et passord som tilfredsstiller alle kriterier for et godt passord, men som likevel er lett å huske fordi du bare trenger å gjenta setningen når du skal skrive passordet.

Når du lager passord på denne måten, så bør du prøve å bruke både tall, tegn og store bokstaver. Det er egentlig ikke så vanskelig. Tall får du ved å bruke klokkeslett, årstall, beløp eller lignende. Store bokstaver er enkelt hvis du tar med en forkortelse, og tegn kan gjerne være punktum, spørsmålstegn, utropstegn, bindestrek og så videre.

Hvis du bruker setninger som har betydning for deg, blir de lette å huske, men umulige for andre å gjette seg fram til. 

Passordrutiner i virksomheten

Tidligere var det vanlig å konfigurere servere slik at brukerne ble tvunget til å skifte passord med jevne mellomrom, gjerne hver måned. I dag har de fleste gått bort fra dette fordi det i praksis viser seg at det gir dårligere sikkerhet. Når brukerne stadig må skifte passord, vil de etter hvert velge passord som er enkle å huske og dermed også å gjette – typisk navnet på måneden eller det samme ordet etterfulgt av månedsnummeret. Videre vil flere brukere skrive ned passordet og oppbevare det i nærheten av maskinen. Det er derfor bedre at brukerne har gode passord som de husker, enn å stadig tvinge dem til å forsøke å huske nye passord.

Det gjelder imidlertid ikke for administrative passord til servere. Her bør passordene skiftes regelmessig som en fast rutine.

LenkePassordgenerator  

Et passord gir bare sikkerhet så lenge ingen kan gjette det eller få tak i det på noen måte.