flexile-white-logo

Hvorfor passord ikke bare er lurt.

av | jan 14, 2019

I 2018 påpekte Verizon i sin årlige «Data Breach Investigations» at 81 prosent av hacker-relaterte datainnbrudd  involverte enten stjålne eller svake passord. I praksis betyr dette at kunnskapen om passord, deres styrker og svakheter, er for dårlig i blant den generelle befolkningen. Nettkriminelle forbedrer stadig sine metoder og god passordkultur, passordholdninger og god kunnskap om passordene sine styrker og svakheter er vesentlige elementer for å forhindre datainnbrudd. Vi ser på en liten liste over punkter det er viktig å tenkte igjennom når man lager passord eller setter regler og rutiner for passord.

Lange passordfraser

I mange år har vi lært at man skal gjøre passordene så vanskelig som overhodet mulig. Bokstaven e erstattes med tallet 3. Bokstaven s erstattes med $. Eller at bokstaven o kan erstattes med en null/0. Du skal blande STORE og små bokstaver om hverandre, legge til noen vilkårlige siffer eller tall samt lure inn alle spesialtegn du kan huske av typen; !, #, % eller . Til sammen skal dette gjøre passordet ditt tilnærmet umulig å gjette seg fram til, selv om noen overhører at passordet ditt er «$0mm3rf3ri3#8822!!». De klarer rett og slett ikke å kode det hele om fra «Sommerferie#8822!!» som det egentlig symboliserer. Passordet er selvfølgelig nøye valgt siden du fikk beskjed om å bytte det i sommerferien mens du var på campingtur med hele familien til postnummer 8822. Bombesikkert passord!

Vel. Problemet i den senere tiden er at datakraften har utviklet seg såpass voldsomt. Hackerne sine verktøy har samtidig utviklet seg til å holde følge med datakraften og det er nå ikke noe problem og prøve flere hundre tusen, eller til og med millioner av kombinasjoner av passord i sekundet for å finne nettopp ditt. Vet de bittelitt ekstra informasjon som at det har noe med sommerferie å gjøre – så risikerer du at passordet er avslørt på bare sekunder.

Det som er beste praksis nå er å velge passord som er lange framfor kompliserte, da datakraften enda ikke klarer å løse lange passord like effektivt som korte. Nettkomedien XKCD har sammenlignet effekten av et kort, men komplisert, passord – «Tr0ub4dor&3» – mot effekten av en lengre passordfrase – «correct horse battery staple». De fant ut at der det tok bare 3 dager å knekke det førstnevnte – mens det ville ta hele 550 år å knekke det sistnevnte med dagens tilgjengelige verktøy optimalisert for å knekke passord.

Gå inn på https://howsecureismypassword.net for å sjekke hvor lang tid det vil ta og knekke et gitt passord. For

 sikkerhets skyld; Ikke skriv inn ditt eget, men kanskje en tilsvarende variasjon av det? Siden hevder de ikke lagrer informasjon, men vi kan ikke ta ansvar for sider som er utenfor vår kontroll.

Unngå vanlige passord

Unngå å bruke passord som det er trolig at andre bruker. «Passord», «qwerty», «asdfgh123» er dårlige passord. Legger du til tall og spesialtegn, f.eks. «Passord1456!!%#» vil passordet være like dårlig. Unngå også å danne mønster på tastaturet når du lager passord. F.eks. «1qaz2wsx3EDC» er vel så dårlig. Prøv å skriv det og se selv hva slags gjenkjennelig mønster det blir.

Årsaken til dette ligger i at den første metoden hackerne bruker er å laste ned oversikter over alle tidligere knekte passord. Enkelte av disse listene som er tilgjengelige for hvem som helst å laste ned inneholder over 1 milliard forskjellige passordkombinasjoner – og en vanlig maskin bruker bare minutter på å sjekke dem alle.

Disse passordene er og forholdsvis korte, og som forklart i punkt 1, noe som gjør de dårlig egnet for å sikre dine data på en god måte. Velg et tilfeldig passord, som er greit å huske og som ikke består av navn eller fødselsdatoer på familie og kjente rundt deg. Du vil vel ikke at alle som kan navnet på barnet ditt og hvilken dag det er født skal få tilgang til dine personlige og eller jobb-data?

Bruk 2-faktorautentisering hvor enn det er tilgjengelig.

2-faktorautentisering er en løsning som involverer at når man har tastet inn korrekt passord så vil man få en SMS, en app-varsel på telefonen eller en kode fra en kodebrikke som må tastes inn før man får logget på. Dette medfører den ekstra sikkerheten av at ikke bare passordet er nødvendig, men også en kode som er personlig. Dette reduserer angrepsmulighetene til så godt som null, da personen som skal bryte seg inn i dine data vil ha behov for fysisk tilgang til din enhet. De kan altså ikke sitte på andre siden av kloden og hente ut informasjon.

2-faktorautentisering er den rimeligste og enkleste måten sammen med et godt passord for å sikre dine tilganger og som gjør det så nærme umulig å bryte seg inn som dagens teknologi tillater.

Unngå periodiske passordendringer

Flere og flere bedrifter har igjennom årene satt regler for at passordet må endres med jevne mellomrom. Det samme har flere og flere nettjenester du aksesserer. Nylig har de fleste sluttet med dette og heller innført to-faktorautentisering og varsling ved mistanke om misbruk (f.eks. etter så og så mange forsøk med feil passord), utsperring fra tjenesten ved feil passord f.eks. 5 ganger, m.m. Årsaken til dette er at historisk har folk ikke endret til bedre passord mellom hver gang, kun endret til neste sekvens eller noe som ligner. Dette gjør at passordet i praksis ikke er mer sikkert enn det var før byttet. Typisk eksempel er at brukerens opprinnelige passord er «Cali4nia», som senere blir endret til «Cali4nia1», «Cali4nia2», osv.

Mange har også for vane av å skrive ned passordet sitt på en lapp og legge den et «lurt sted». Gjerne klistret på skjermen eller under tastaturet.

Ved å sette en lang og solid passordfrase en gang og memorere denne så vil det være langt tryggere enn at brukeren bytter passord med jevne mellomrom til noe som ligner veldig på forrige. For brukeren gir det og økt trygghet i at de husker passordet sitt og således har det med seg overalt. Får de ny PC er det ingen spørsmål om hva passordet til mailen var – det vet de.

Jevnlig trening av ansatte

For å forstå viktigheten av passordet er det viktig å ha jevnlig dialog og trening i god passordskikk med brukerne. Ifølge Mørketallsundersøkelsen 2018 er den mest vanlige måten å få tilgang til folks passord i dag via phising. Dette er sider som fremstår som ekte sider og som lurer fra deg passordet ditt ved at du tror at du skal logge inn på en legitim side.

Aldri klikk på en link og logg deg inn – gå selv til adressefeltet og skriv inn adressen dit du skal før du logger inn. Sånn er du sikker på at den siden du besøker er den du prøver å nå – og ikke en annen side som utgir seg for å være riktig side.

Se denne videoen publisert på våre Facebooksider for et eksempel på phisingforsøk vi har avslørt.

Sist men ikke minst… Passordadministrasjonsystem.

Passordadministrasjonssystem høres like vanskelig ut som passordene det skal beskytte. Flere leverandører har lansert dette oppover årene. Dette er programmer der du kan lagre alle dine passord og som blir trygt tatt vare på i kryptert form bak et hovedpassord. Programmet vil automatisk fylle inn passordet som er riktig der det trengs slik at du slipper å huske alle passord. Du kan selv bestemme hvor lenge etter PCen er låst opp før hovedpassordet skal kreves. Programmene hjelper deg også å skape gode passord, og med tilhørende mobilapper slipper du å huske disse. Er passordet knallbra og du ikke en gang trenger å vite selv hva det er – så er det vel sikkert som banken?

Vi i Attend anbefaler 1Password eller LastPass. Men andre, gode alternativer finnes og der ute.

Neste steg

Ta kontakt med oss i Attend for en uforpliktende samtale om dine behov rundt informasjon og sikring av passord. Vi kan bistå med 2-faktorautentisering, passordadministrasjon og annet dere måtte ønske! Ta kontakt så finner vi beste løsning sammen!