Hopp til innhald

Fagstoff

Behandle passord

Eit passord gir sjølvsagt berre tryggleik så lenge ingen kan gjette eller få tak i det på nokon måte. Sidan tryggleiken ofte er avhengig av at passord er hemmelege, er det viktig å vere medviten om korleis vi skal verne passorda.
Brukernavn og passord
Opne bilete i eit nytt vindauge
CC BY-NC-SA
Bilete: Victor Bayon

Smarte angriparar

Korleis ein angripar prøver å ta seg forbi eit passordvern, varierer med kva slags passord det er snakk om, men i dei fleste tilfella må den som ønskjer å bryte seg inn, på ein eller annan måte finne ut kva passordet er. For å gjere dette kan angriparen

  • spørje brukaren kva passordet er
  • finne ein lapp eller anna der brukaren har skrive passordet
  • forsøkje å gjette passordet
  • installere programvare som loggar kva brukaren skriv på tastaturet
  • bruke programvare som «knekkjer» passordet

Spørje brukaren om passordet

Det kan høyrast utruleg ut, men den mest effektive måten å få tak i eit passord på, er ofte ganske enkelt å spørje. Ein angripar vil typisk nok gi seg ut for å vere nokon som du trur du kan stole på. Ein vanleg framgangsmåte har vore å seie at ein ringjer frå ein systemleverandør eller IKT-avdelinga i verksemda. Den som ringjer, vil vanlegvis prøve å gjere deg usikker ved å fortelje at han eller ho har oppdaga at nokon prøver å misbruke kontoen din, at maskina er infisert av eit alvorleg datavirus, eller noko anna som verkar skremmande. Dersom den som tek kontakt, verkar overbevisande nok, tør ikkje den som svarer, å gjere noko anna enn det vedkommande seier, og då er vegen til å spørje om passord kort.

Denne framgangsmåten blir gjerne kalla for social engineering.

Skriv ned passord

Du har sikkert høyrt historier om brukarar som skriv passordet sitt på ein lapp og festar det på skjermen eller legg det under tastaturet. Sjølv om det sikkert har skjedd nokre gonger, forstår dei fleste at føremålet med passord forsvinn dersom det er så enkelt å finne.

Problemet er likevel at dei fleste må handtere mange ulike passord og kodar, og mange føler at dei må skrive dei ned ein stad for å vere sikre på å hugse dei.

I motsetning til kva du kanskje har høyrt eller lese tidlegare, er det ingenting i vegen for å gjere dette, og i mange tilfelle er det faktisk nødvendig. Å skrive ned passord for å hugse dei er ikkje eit problem før nokon andre finn dei.

Det er som sagt gode grunnar for å skrive ned passord. Mange av passorda vi bruker til dagleg, treng vi ikkje å taste inn kvar gong fordi programma hugsar dei for oss. Det gjeld til dømes for mange internettenester, e-post og brukarprogram.

Når du først har tasta inn passordet éin gong, blir du ikkje spurd om det igjen. Men dersom du seinare får ei ny maskin eller oppgraderer programvara, blir du spurd om passordet på nytt.

Då kan det vere månader eller år sidan sist du brukte det, og sjansen for at du hugsar det er minimal. Faktisk kan dei fleste av oss få vanskar med å hugse eit passord vi elles bruker til dagleg dersom det går nokre veker utan at vi har bruk for det – til dømes fordi vi har vore på ferie.

Å skrive ned passord er altså eit fornuftig tiltak. Det er korleis du oppbevarer lappen med passorda, som er vesentleg for tryggleiken. Slik bankkortkoden ikkje skal leggjast saman med bankkortet, skal ikkje passorda finnast i nærleiken av datamaskina. Du får uansett ikkje bruk for dei så ofte at dei må finnast rett i nærleiken.

Ei anna side ved passordbehandlinga er dei administrative passorda til datatenarane i verksemda. Desse passorda må alltid skrivast ned slik at det er råd å få tilgang til systema dersom det skulle skje ei ulykke eller noko anna som gjer at administrator ikkje er tilgjengeleg.

Desse passorda krev sjølvsagt spesiell trygging, og det er tilrådd å skrive dei på eit ark som blir lagt i ein forsegla konvolutt i til dømes ein safe eller ein bankboks. Vidare må det sjølvsagt finnast ein rutine for å byte ut konvolutten når passorda blir endra.

Val av passord

Alle tilrådingar om passord seier at du bør velje eit passord som består av usamanhengande bokstavar, tal og teikn. Slike passord er umoglege å gjette og vanskelegare å knekkje på andre måtar. Problemet er berre at det også er mykje vanskelegare å hugse. Derfor vil dei fleste bruke eit passord som betyr noko for dei, og som er lettare å hugse.

Det er gjort fleire undersøkingar på kva som er dei mest brukte passorda. Lista under står i tilfeldig rekkjefølgje:

  • «Passord», «Password», «Secret»
  • tastaturmønster som «qwerty», rekkjefølgjer som «abc123» eller gjentaking av det same teiknet – til dømes «aaaaa»
  • eige namn eller namn på familiemedlem
  • fødselsdag eller telefonnummer
  • namn på kjæledyr
  • namn frå kjende filmar, tv-seriar eller romanar
  • namn på popstjerner, filmskodespelarar, idrettsutøvarar, fotballag eller teikneseriefigurar
  • namn på øl- eller spritmerke
  • månaden då passordet blei skifta
  • datamaskinmerket

Dersom angriparen veit litt om den personen som eig maskina, er det altså ikkje umogleg å gjette passordet. Uansett bør du unngå passord frå lista over, sidan desse er dei angriparen prøver først.

Vidare vil mange bruke det same passordet til fleire tenester, slik at dersom nokon får tak i passordet til éi teneste, får dei også tilgang til andre tenester.

Kva er eit godt passord?

  • Passordet bør vere minst sju teikn langt, men gjerne lengre.
  • Passordet bør ha minst fem ulike teikn.
  • Passordet bør vere ei blanding av store og små bokstavar, tal og spesialteikn. (Store og små bokstavar blir oppfatta som to ulike teikn av datamaskina og gjer derfor passordet sterkare.)
  • Passordet bør ikkje vere eit forståeleg ord, men ein tilfeldig rekkjefølgje av teikn.

Bokstavane æ, ø og å kan godt brukast i passord. For alle som ikkje bruker norsk teiknsett, blir dei norske bokstavane oppfatta som spesialteikn, og dei gjer at passordet blir vanskelegare å knekkje. Men dersom du reiser utanlands og til dømes skal sjekke e-posten din frå ein internettkafé, kan det bli eit problem for deg når du skal skrive inn passordet ditt på eit tastatur som ikkje har norske teikn.

Korleis hugse passord

Ein måte å gjere passord lettare å hugse på utan at det blir lett å gjette, er å ta utgangspunktet i ei setning og så omsetje henne til ein passande kode som berre du kjenner. Til dømes kan setninga «Eg har bursdag den 12. mai» kodast om til «Ehbd12.m» ved å ta den første bokstaven i kvart ord, alle teikn (i dette tilfellet punktum) og tal. Dermed har du eit passord som tilfredsstiller alle kriterium for eit godt passord, men som likevel er lett å hugse fordi du berre treng å seie setninga for deg sjølv når du skal skrive passordet. Dersom du bruker setningar som har noko å seie for deg, blir dei lette å hugse, men umoglege for andre å gjette seg fram til.

Eit passord gir berre tryggleik så lenge ingen kan gjette det eller få tak i det på nokon måte.

Ein måte å verne data mot innsyn på er å kryptere informasjonen. Du kan lese meir om det her.

CC BY-SASkrive av Arne Jansen. Rettshavarar: NKI Forlaget og Amendor AS
Sist fagleg oppdatert 11.05.2018

Læringsressursar

IKT-tryggleik