Passord – til glede og besvær
Hvor vanskelig det er å lage gode passord som sikrer digitale ressurser på en effektiv måte?
12.10.20
Skrevet av Hans Ellefsen, Regnskap Norge
Del
Ikke bruk passord som er lett å gjette seg frem til.
I internettets barndom, sier standupkomiker Michael McIntyre, hadde vi et unikt passord vi brukte på alt. Det var VÅRT passord, det var personlig – og vi byttet det aldri. Passordet ble en del av vår stolte identitet i den nye digitale verdenen. Så skjedde det noe.
Noen eksperter fant ut at sikkerheten på nettet måtte forbedres. Systemene krevde da minst en stor bokstav i passordet. Etter en viss betekningstid gjorde vi om den første bokstaven i vårt evigvarende passord til stor bokstav. Problemet var løst enn så lenge.
Senere kom kravet om minst en stor bokstav og ett tall. Umiddelbart – uten å tenke denne gangen – la vi på et ett-tall på slutten av vårt evigvarende passord. Kjenner du deg igjen?
«figaro» ble «Figaro» som ble «Figaro1».
Ble sikkerheten bedre av denne utviklingen? Neppe. Hackerne tenkte det samme som deg og forsøkte seg på passord etter dette formatet. Denne sketsjen, fremført av den brilliante McIntyre, illustrerer godt hvor vanskelig det er å lage en god passordpolicy som sikrer digitale ressurser på en god og effektiv måte.
Standardisering i utakt
NIST SP 800-63-3, som ble oppdatert senest 2017, setter standarden for passordoppbygging og passordadministrasjon internasjonalt. En av dem som førte denne i pennen angrer i dag på de anbefalingene som ble gitt. Spesielt temaet om høyfrekvente skifter av passord, typisk mellom 30-90 dager, som beviselig ikke har bidratt til økt sikkerhet.
Hvorfor er ikke hyppige passordskifter bra? Passord-ekspert Per Thorsheim fra Secure Practice påpeker at hyppige skifter kun skaper varianter av favorittpassordet – noe som fremdeles er lett å knekke. Thorsheim anbefaler at vi forkaster en del tidligere tanker rundt måter å bygge opp passord på. Overraskende for mange, men godt faglig begrunnet.
Risikoklasser
Det viktigste ved valg av passord er kanskje å ikke bruke samme passord på alle tjenester på nettet. Eksponeres passordet på ett sted, er alle andre steder også eksponert. Vi er jo ofte på kjente plattformer, så her kan hackerne bare prøve seg frem med det passordet de har fått tak i.
Det er også viktig å ikke bruke samme passord privat og på jobb. Selv synes jeg det er greit å klassifisere ressurser på nettet i risikoklasser, og utforme passordregler etter disse klassene.
Eksempler på risikoklasser er:
- Finansielle tjenester; nettbank, forsikringer, formuesforvaltere mv.
- Helsetjenester; offentlige og private
- Jobbrelaterte tjenester; Altinn, Skatteetaten, ERP-systemer, lønnssystemer, CRM, fagsystemer mv.
- Netthandel
- Sosiale medier
- Pålogginger som deles med andre familiemedlemmer; Netflix, Spotify, nettaviser mv
- Tilfeldige pålogginger på «engangstjenester»
Eksponeres et passord du bruker på sosiale medier, kan skaden begrenses til denne gruppen tjenester, og ikke til andre viktigere grupper av tjenester.
Hvor avanserte passordene bygges opp påvirkes også av risikoklassene. Jeg ville benyttet unike passord på alle steder innen høyrisikoklasser, mens like passord kan være akseptabelt for lavrisikoklasser.
Anbefalinger til passord
Hva med å ha «incorrect» som passord? Har du glemt passordet taster du inn noe tull. Så sier jo systemet «Your password is incorrect». Problem løst! Fra spøk til litt mer alvor; det å komponere et godt passord er ikke så intuitivt, og vi velger ofte samme type passord gang etter gang. Da er det godt med litt veiledning for å endre vaner. Per Thorsheim har 5 gode anbefalinger til passord:
- Bruk lange passord – for eksempel en setning som gir mening for deg. «Sushi er alltid godt på lørdag» er lett å huske, men vanskelig å hacke på grunn av lengden og sammensetningen av tegn (ø, å og mellomrom).
- Noter ned passordene du har. Jeg har selv 421 pålogginger per dags dato, og bruker derfor et passordsystem med et solid masterpassord for å få tilgang til alle andre passord. Alternativet er å skrive ned passordene og lagre dette hjemme. Passord bør ikke ligge i notat-appen på telefonen eller i skuffen på jobben.
- Ikke bruk passord som er lett å gjette seg frem til. Dette kan være navn på medlemmer i familien, navn på kjæledyr, merkedatoer, 123456, Qwerty123 eller passord123. Lag heller setninger som gir mening for deg.
- Bytt sjeldnere. Gode passord har lang levetid. Snakk med systemansvarlig hvis passord må byttes ofte.
- Bruk totrinns autentisering hvor dette tilbys. BankID for mobil er gull verdt og lett tilgjengelig for de fleste. Alternativt bruker leverandørene av online-tjenestene Microsoft Authenticator, Google Authenticator, OTP Auth, Authy eller SMS Passcode. Prinsippene som ligger bakt flerfaktor-autentisering er; noe man vet (for eksempel passord), noe man har (for eksempel mobil/bankkort/kodebrikke) eller noe man er (for eksempel fingeravtrykk).
Passordsystemer hjelper
Nettlesere spør deg gjerne om nettleseren skal huske passordet for deg. Det er nok ikke helt lurt å bruke denne funksjonen da sikkerheten rundt dette kan være så som så. Da er det kanskje bedre å bruke anerkjente passordsystemer som 1Password, LastPass, Dashlane, RoboForm, Keeper eller Bitwarden. De kjører på mange plattformer; PCer, mobiler og nettbrett. De er sikre, effektive i bruk og blir fort din venn i hverdagen.