Teknologi

Slik lager du et sikkert passord

Brukernavn, passord, kredittkortinformasjon og annen sensitiv informasjon om deg kan ha lekket gjennom det største sikkerhetshullet på mange år.

Lars Wærstad
Publisert

Teknologiorienterte forum og nettsider såvel som de største aviser og nyhetskanaler har skrevet om sikkerhetshullet "Heartbleed" som ble oppdaget denne uken.

Det snakkes om en av de største sikkerhetskatastrofene i internetts historie fordi den omfatter svært utbredt teknologi som nettopp skal gjøre informasjonen din sikker på nett. Og hullet har eksistert i to år.

Et ukjent antall hundretusener av nettsider - mest sannsynlig flere av de største nettsidene, butikker og e-post- og skytjenester du bruker jevnlig - kan være rammet.

Dette er altså nettsider som krever brukernavn og passord og ofte dine kredittkortopplysninger.

Helt kort rammer "Heartbleed" sikkerhetsprotokollen SSL, og spesifikt programvaren OpenSSL - som er den foretrukne sikkerhetsprogramvaren til de fleste nettbutikker og nettsider som krever innlogging.

Det er det fint lite folk flest kan gjøre noe med. Nettsider over hele verden jobber på spreng for å oppdatere serverne sine med en programvareoppdatering. Men skaden kan allerede være skjedd, dine passord og annen sensitiv informasjon kan være på avveie.

Det du imidlertid kan og må gjøre, er å skifte passord - nå med en gang.

Tabben mange gjør er å benytte det samme passordet på flere forskjellige nettsider, noe som gjør det enkelt for uvedkommende å ta over flere av dine kontoer raskt og enkelt.

Du kan lese hva som skjedde med livet til Wired-skribent Mat Honan da han mistet kontroll på sine innlogginger her: Du har en hemmelighet som kan ødelegge livet ditt

De beste rådene for trygge nettpassord

Det har tidligere vært mye snakk om at gode passord som er vanskelig å gjette er viktig, men gjennom mange år har mange stilt spørsmålstegn ved nettopp dette fordi den vanligste måten å få tak i andres passord har vært å lure folk til å oppgi passordet sitt gjennom phishing.

Om passordet ditt er «123456» eller «ggdf09879843hlkfdsf904835jldsf» er irrelevant, om du forteller andre hva det er.

Men i situasjoner der store mengder passord er lekket, er nettopp vanskelige passord utrolig viktig. Årsaken er at passordene i de fleste tilfeller er kryptert/hashet, noe som gjør at passordet «123456» i databasen til en nettside kan være lagret som «e10adc3949ba59abbe56e057f20f883e» (md5 hash).

For at en skal kunne avsløre det reelle passordet, må hvert enkelt passord knekkes. Det finnes svært avanserte verktøy på nett som gjør denne jobben veldig enkelt om du bruker «vanlige» passord. De inneholder store lister som automatisk kan fortelle at «e10adc3949ba59abbe56e057f20f883e» er «123456» i klartekst, fordi det er et passord de har kommet over ofte.

Derimot vet de ikke at passordet «Denstoretullingen83472&tosk9548» er lagret som «ed4f3abbfe3e94e06568a0fe1b4a8548». Det er ikke umulig å avsløre slike passord, men det tar enormt med tid, og som regel tar en seg ikke tid til det.

Derfor er det ofte slik at rundt 80 prosent av passordene i slike datalekkasjer knekkes, mens resten gir en opp. Målet er derfor å havne i kategorien hvor en gir opp å knekke passordet ditt.

Passord

IKKE GJØR DETTE:

  • Gjenbruk passord. Hvis du gjør det, vil en som bryter seg inn i én konto, få tilgang til alle.
  • Bruke et ord fra ordboka som passord. Et passordprogram vil da mest sannsnylig ha passordet ditt i databasen. Hvis du absolutt må, sett sammen flere ord.
  • Erstatt bokstaver med typiske tall. Tror du «P4550rd» er uknekkelig? Tro om igjen.
  • Bruk et kort passord. Selv bokstavkombinasjonen «h6!r$q» lar seg raskt knekke. Så langt passord som mulig, er det beste forsvar.


GJØR DETTE:

  • Krev dobbel godkjenning dersom du kan. Både Google og Apple tilbyr dette. Dersom du logger deg på fra en ukjent IP-adresse, kan et slik system sende en melding til mobilen din som du må godkjenne for å få logget deg på.
  • Skriv tullesvar på sikkerhetsspørsmål. Tenk på det som dine alternative passord. Din første bil var ikke en Toyota Avensis. Det var en «Supersinnsyk drømmedoning».
  • Vask informasjonen om deg. Det ligger mengder av informasjon om deg på nett. Fjern det du kan fra offentlig lister og oppføringer.
  • Bruk en unik, sikker epostadresse til gjenoppretting av passord. Dersom en hacker vet hvilken adresse det nye passordet blir sendt til, er det en konto som står i fare for å bli hacket. Opprett en e-postadresse som kun skal brukes i sikkerhetstilfeller, som ikke er knyttet til navnet ditt.

Kilde: Wired.com

LEG EN ENKEL HUSKEREGEL

Det lure er derfor å skaffe seg et obskurt passord som du likevel har en enkel huskeregel på. Ta for eksempel et sitat eller setning fra en sang som du liker godt, og plukk ut den første bokstaven i hvert ord for å være et passord.

La oss for eksempel si at du er kristen. Da vil følgende setning være enkel:

« For så høyt har Gud elsket verden, at han ga sin Sønn»

I et passord vil det kunne se slik ut: « FshhGev,ahgsS»

Der har du skapt et passord på 14 tegn som er utrolig vanskelig å gjette seg til, men enkelt å huske, som både har store og små bokstaver, i tillegg til et spesialtegn. Tall kan du enkelt legge inn hvis setningen du benytter seg også benytter seg av et eller annet tall.

EN ANNEN MULIGHET

Nettstedet CorvusConsulting har en litt annen holdning til hvordan du potensielt kan skape et unikt passord til hvert eneste sted du registrerer deg:

Velg først ut et helt normalt ord, fortrinnsvis ikke på engelsk. Fortsette så med et årstall som har stor betydning for deg, men ikke din bursdag, og avslutt med den første stavelsen av tjenesten du skal registerer deg.

For eksempel kan det da være « brostein1994goo». Dette er altså et normalt ord, årstallet for OL på Lillehammer, og den første stavelsen av Google.

Et lignende passord kan være « brostein1994wi» på Wikipedia.

LAG NATURLIGE SPESIALTEGN

Vil du gjøre det enda sikrere kan du for eksempel velge å markere starten av hver stavelse med stor bokstav, og andre halvdelen av årstallet med spesialtegnet som tilsvarer symbolet på tastaturet.

Det første passordet ditt vil da se slik ut: « BroStein19)¤Goo»

Her har du et passord på 15 tegn som er veldig enkelt å huske, men som samtidig være uoverkommelig å knekke med de fleste datamaskiner. Regner vi med at du har tilgang til 96 forskjellige tegn med bokstaver, tall og spesialtegn, så er det snakk om over 540.000 billioner billioner kombinasjonsmuligheter (96^15).

Dette passordet gjør at hvis du mister passordet ditt for én tjeneste, så vil du fortsatt ha hemmeligheten din intakt for andre nettsteder. Ulempen er at det er enkelt å avsløre hvis noen først finner frem til mønsteret ditt. Det er likevel betydelig sikere enn alle standardpassord som folk flest gjerne benytter seg av.

Side3