LETT Å KNEKKE: - Det skal godt gjøres å ha et passord på åtte tegn eller mindre som jeg ikke kan knekke på en time, sier sikerhetssjef Per Thorsheim fra EDB Ergogroup. Foto: Privat
LETT Å KNEKKE: - Det skal godt gjøres å ha et passord på åtte tegn eller mindre som jeg ikke kan knekke på en time, sier sikerhetssjef Per Thorsheim fra EDB Ergogroup. Foto: Privat

Slik lager du gode passord

TEKNOLOGI

Bytt ut et kort passord med en hel setning, råder sikkerhetsforsker.

  • Leif Martin Kirknes (Computerworld)
Publisert: Oppdatert: 06.12.11 12:07

Passordet ditt består trolig av åtte bokstaver, kanskje et par til. Det er ganske sannsynlig at den første bokstaven er stor, de resterende små. De siste to eller fire sifrene er trolig et tall, antakelig basert på en dato.

Les også: Har Apple somlet bort en iPhone 5?

I en litt større bedrift er det stor sjanse for at du finner minst én bruker som har passordet «Vinter12» eller «Vinter2012». Og det er nesten ingen som gjør det motsatt, altså kjører to tall først og så avslutter med et ord.

Sikkerhetsrådgiver Per Thorsheim fra EDB Ergogroup hevder at han ved hjelp av lett tilgjengelig databaser på nettet kan knekke slike enkle passord på kort tid.

- Selv mennesker med særdeles høy sikkerhetskompetanse bruker passord på åtte tegn, tall og bokstaver, sier han.

- Det skal godt gjøres å ha et passord på åtte tegn eller mindre som jeg ikke kan knekke på en time, sa han på den årlige IFS-konferansen til Norsk Informasjonssikkerhetsforum i Larvik i forrige uke.

Norsk Informasjonssikkerhetsforum er en ideell organisasjon med fokus på informasjonssikkerhet.

Lang, positiv setning

Torsheim mener at sikkerhetsfolk i bedriftene har gjort ting unødvendig knotete i mange år ved å be brukere om å lage passord på gitte lengder, som inneholder et gitt antall tall og spesialtegn, som stadig vekk må skiftes ut. Slike passord er ofte vanskelig å huske.

Les også: Måten du går på kan låse opp smarttelefonen

Thorsheim mener at det enkle ofte er det beste.

Heller enn å ha et passord som ser sånn ut: «Lr!#44jjE» har han et hett tips: Lag heller et passord som er en hel setning. Gjerne en positiv setning, basert på minner, f eks «Ferien i 2012 var fin, med sol, strand og øl.»

Setningen er hele 41 tegn lang, og dermed svært vanskelig å knekke. Og jammen er det et par komma, noen tall og et punktum på plass i tillegg. Pluss en ø, i dette tilfellet.

At setningen er positiv ladet gjør den lettere å huske. Thorsheim mener også at brukerne må få slippe å bytte passord til stadighet.

Knekker Windows-passordet

Han mener også en del vanlige regler for passordbruk i bedrifter har gått ut på dato.

- Passordadministrator må slutte å lage regler om hvor langt passordet skal være og hvor mange tall det må inneholde. Hvis passordsystemet ikke tillater mer enn åtte tegn, må det gjøres noe med. I så fall er ikke sikkerhet brukerens feil, men IT-avdelingens. Det må tilrettelegges for lengre passord.

Les også: Fem tips som sikrer smartmobilen din

Windows-passord, særlig korte passord, er lette å knekke, hevder Torsheim. Spesielt i Windows-versjoner som ikke skiller mellom store og små bokstaver.

Passordene gjøres i Windows om til såkalte «hasher», en enveis matematisk krypteringsprosess. En inntrenger kan ta hash-filen og sjekke passord-hashene opp mot en enorm hash-database som er fritt tilgjengelig på nettet. Denne databasen består av genererte hasher basert på alle tenkelige passord mellom 1 og 14 tegn.

Finnes en hash-match, er det gjort. Da vet angriperen passordet i klartekst.

Mange har e-postadressen sin som brukernavn. Ettersom folk flest kjører samme passord over alt, kan det være en smal sak for passord-tyver for eksemepl å utnytte epost-kontoen din.

Les også: Plantet porno på sjefens powerpoint

Får støtte


Seniorrådgiver i Norsk senter for informasjonssikring (NorSIS), Tone Hoddø Bakås, anbefaler også lange passord.

- En lang setning er fint. Det gjør det mye lettere å huske på passordet, sier hun, og legger til at hun bruker denne praksisen selv.

Hun er også enig i at du bør bruke forskjellig passord på ulike tjenester.

- Det viktigste er at du husker passordet selv, og at ingen gjetter det, det er hovedrådet vårt. Hvis du har passord som «y7i4nd§e» ender det med at du skriver det ned, og det er ikke heldig, sier Bakås.

- Mange klager over at det blir mer vanskelig med passord på en hel setning, at det går tregere å skrive inn. Men det går ganske fort å skrive ord for de fleste, så det bør ikke være noe argument. Det er litt uvant i starten, sier hun.

Her kan du lese mer om