Hopp til innhold

Fagstoff

Behandle passord

Et passord gir selvsagt bare sikkerhet så lenge ingen kan gjette eller få tak i det på noen måte. Siden sikkerheten ofte er avhengig av at passord er hemmelige, er det viktig å være bevisst på hvordan vi beskytter passord.
Brukernavn og passord
Åpne bilde i et nytt vindu
CC BY-NC-SA
Bilde: Victor Bayon

Smarte angripere

Hvordan en angriper forsøker å ta seg forbi en passordbeskyttelse, vil variere med hva slags passord det er snakk om, men i de fleste tilfeller må den som ønsker å bryte seg inn, på en eller annen måte finne ut hva passordet er. For å gjøre dette kan angriperen

  • spørre brukeren hva passordet er
  • finne en lapp eller annet hvor brukeren har skrevet passordet
  • forsøke å gjette passordet
  • installere programvare som logger hva brukeren skriver på tastaturet
  • bruke programvare som «knekker» passordet

Spørre brukeren om passordet

Det kan høres utrolig ut, men den mest effektive måten å få tak i et passord på er ofte ganske enkelt å spørre. Typisk vil en angriper utgi seg for å være noen som du tror at du kan stole på. En vanlig framgangsmåte har vært å si at man ringer fra en systemleverandør eller virksomhetens IKT-avdeling. Den som ringer, vil vanligvis forsøke å gjøre deg usikker ved å fortelle at han eller hun har oppdaget at noen forsøker å misbruke kontoen din, at maskinen er infisert av et alvorlig datavirus, eller noe annet som virker skremmende. Hvis den som tar kontakt, virker overbevisende nok, tør ikke den som svarer, å gjøre noe annet enn det vedkommende sier, og da er veien til å spørre om passord kort.

Denne framgangsmåten kalles gjerne for social engineering.

Skriv ned passord

Du har sikkert hørt historier om brukere som skriver passordet sitt på en lapp og fester det på skjermen eller legger det under tastaturet. Selv om det sikkert har forekommet noen slike tilfeller, forstår de fleste at hensikten med passord forsvinner hvis det er så enkelt å finne.

Problemet er likevel at de fleste må forholde seg til en rekke ulike passord og koder, og mange føler at de må skrive dem ned et sted for å være sikre på å huske dem.

I motsetning til hva du kanskje har hørt eller lest tidligere, er det ingenting i veien for å gjøre dette, og i mange tilfeller er det faktisk nødvendig. Å skrive ned passord for å huske dem er ikke et problem før noen andre finner dem.

Det er som sagt gode grunner for å skrive ned passord. Mange av passordene vi bruker til daglig, behøver vi ikke å taste inn hver gang fordi programmene husker dem for oss. Det gjelder for eksempel mange internettjenester, e-post og brukerprogrammer.

Når du først har tastet inn passordet én gang, blir du ikke spurt om det igjen. Men hvis du seinere får en ny maskin eller oppgraderer programvaren, vil du bli spurt om passordet på nytt.

Da kan det være måneder eller år siden sist du brukte det, og sjansen for at du husker det er minimal. Faktisk kan de fleste av oss få problemer med å huske et passord vi ellers bruker til daglig hvis det går noen uker uten at vi har bruk for det – for eksempel fordi vi har vært på ferie.

Å skrive ned passord er altså et fornuftig tiltak. Det er hvordan du oppbevarer lappen med passordene, som er vesentlig for sikkerheten. På samme måte som bankkortkoden ikke skal legges sammen med bankkortet, skal ikke passordene finnes i nærheten av datamaskinen. Du vil uansett ikke ha bruk for dem så ofte at de må finnes i umiddelbar nærhet.

En annen side av passordbehandling er de administrative passordene til virksomhetens servere. Disse passordene må alltid skrives ned slik at det er mulig å få tilgang til systemene hvis det skulle skje en ulykke eller annet som gjør at administrator ikke er tilgjengelig.

Disse passordene krever selvsagt spesiell sikring, og det er anbefalt å skrive dem på et ark som legges i en forseglet konvolutt i for eksempel en safe eller en bankboks. Videre må det selvsagt finnes en rutine slik at konvolutten blir byttet ut når passordene endres.

Valg av passord

Alle anbefalinger om passord sier at du bør velge et passord som består av usammenhengende bokstaver, tall og tegn. Slike passord er umulige å gjette og vanskeligere å knekke på andre måter. Problemet er bare at det også er mye vanskeligere å huske. Derfor vil de fleste bruke et passord som har betydning for dem, og som er lettere å huske.

Det er gjort flere undersøkelser på hva som er de mest brukte passordene. Lista under står i tilfeldig rekkefølge:

  • «Passord», «Password», «Secret»
  • tastaturmønster som «qwerty», rekkefølger som «abc123» eller gjentakelse av det samme tegnet – for eksempel «aaaaa»
  • eget navn eller navn på familiemedlem
  • fødselsdag eller telefonnummer
  • navn på kjæledyr
  • navn fra kjente filmer, tv-serier eller romaner
  • navn på popstjerner, filmskuespillere, idrettsutøvere, fotballag eller tegneseriefigurer
  • navn på øl- eller spritmerker
  • måneden da passordet ble skiftet
  • datamaskinmerket

Hvis angriperen vet litt om den personen som eier maskinen, er det altså ikke umulig å gjette passordet. Uansett bør du unngå passord fra lista over, siden disse er de første som vil bli forsøkt.

Videre vil mange bruke det samme passordet til flere tjenester, slik at hvis noen får tak i passordet til én tjeneste, får de også tilgang til andre tjenester.

Hva er et godt passord?

  • Passordet bør være minst sju tegn langt, men gjerne lengre.
  • Passordet bør ha minst fem ulike tegn.
  • Passordet bør være en blanding av store og små bokstaver, tall og spesialtegn. (Store og små bokstaver oppfattes som to ulike tegn av datamaskinen og gjør derfor passordet sterkere.)
  • Passordet bør ikke være et forståelig ord, men en tilfeldig rekkefølge av tegn.

Bokstavene æ, ø og å kan godt brukes i passord. For alle som ikke bruker norsk tegnsett, blir de norske bokstavene oppfattet som spesialtegn, og de gjør at passordet blir vanskeligere å knekke. Men hvis du reiser utenlands og for eksempel skal sjekke e-posten din fra en internettkafé, kan det bli et problem for deg når du skal skrive inn passordet ditt på et tastatur som ikke har norske tegn.

Hvordan huske passord

En måte å gjøre passord lettere å huske på uten at det blir lett å gjette, er å ta utgangspunkt i en setning og så oversette den til en passende kode som bare du kjenner. For eksempel kan setningen «Jeg har bursdag den 12. mai» kodes om til «Jhbd12.m» ved å ta den første bokstaven i hvert ord, alle tegn (i dette tilfellet punktum) og tall. Dermed har du et passord som tilfredsstiller alle kriterier for et godt passord, men som likevel er lett å huske fordi du bare trenger å gjenta setningen for deg selv når du skal skrive passordet. Hvis du bruker setninger som har betydning for deg, blir de lette å huske, men umulige for andre å gjette seg fram til.

Eit passord gir bare sikkerhet så lenge ingen kan gjette det eller få tak i det på noen måte.

En måte å beskytte data mot innsyn på er å kryptere informasjonen. Du kan lese mer om det her.

CC BY-SASkrevet av Arne Jansen. Rettighetshavere: NKI Forlaget og Amendor AS
Sist faglig oppdatert 11.05.2018

Læringsressurser

IKT-sikkerhet