Hvordan lage gode passord?
1. Viktige egenskaper ved passordene dine
Angripere har flere teknikker for å avsløre passordet ditt. Gjetting fungerer ofte godt, siden folk normalt sett er lite kreative når passord skal lages. Knekking av passord der et program forsøker alle mulige kombinasjoner (brute force), er en annen teknikk. Tiden det tar å knekke et passord med "brute force" avhenger av hvor godt passordet er. Et godt passord har noen viktige karakteristika. Hva er viktig å tenke på når du skal velge dine passord?
- Bør være lett å huske - Du bør ikke skrive opp passordet noen steder.
- Bør være lett/raskt å skrive - Det reduserer sannsynligheten for at noen ser over skulderen din hva passordet er.
- Bør ha minst ett siffer i seg - Unngå bare sifre, eller å repetere enkelte tegn for mange ganger. Da blir oppgaven å knekke passordet lettere
- Minst 8 tegn, gjerne flere
- Mellomrom, krøllalfa, komma, punktum er lov, samt andre spesialtegn - Vær obs på mulige problemer med utenlandske tastatur, håndholdte enheter og liknende.
- Bør byttes regelmessig.
- Bør ikke inneholde vanlige ord som fins i ordlister.
- Unngå enhver form for informasjon som kan knyttes til deg, for det er gjerne det første som en angriper forsøker seg på. Deler av navnet ditt + familie, fødselsdatoer, adresser, telefonnumre, brukernavn og liknende må unngås. Det hjelper ikke om du staver baklengs, med store/små bokstaver, dobbelt opp og andre basisteknikker.
2. Triks: Nyttige teknikker for å lage gode passord
Det kan synes vanskelig å oppfylle kriteriene fra punkt 1. Hvordan skal du gå fram for å lage et godt nok passord? Her er noen tips:
- For å få mer enn 8 tegn, så tenk i form av setninger. Slike husker du mye lettere enn tilfeldige tegn og de kan gi tilnærmet like gode passord. Du kan stokke om på setninger, kombinere strofer fra to sanger, ta en bestemt bokstav fra hvert ord i setningen, eller liknende.
- Mellomrom er lov, og lett å skrive inn, så bruk gjerne det. Punktum og komma er også lov, krøllalfa og utropstegn, og de aksepteres av så og si alle datasystemer og nettsteder. Slike fins også lett tilgjengelig på alle tastaturer i hele verden og på alle operativsystemer (du klarer altså lett å lokalisere disse spesialtegnene på et ukjent tastatur)
- En vanlig metode for å en hacker å gjette et passord, er å lage et program som søker gjennom ordlister av mye brukte passord og vanlige ord. Du bør derfor unngå ord som kan være med i en slik ordliste. Et triks for å redusere sannsynligheten for at hackeren skal lykkes, er å gjøre litt om på ordet. For eksempel kan "Bergen" bli til "Berg1" eller "bRg1" (R uttales er). Da får du også lurt inn tall, det er logisk og lett å huske for deg, og det fins ikke i ordlister.
- For å tvinge deg selv til å bytte passord for eksempel en gang per måned, kan du rett og slett inkludere månedsnummeret eller månedsnavnet et sted i passordet.
3. Eksempler på konstruksjon av passord
Det fins mange teknikker for å lage gode passord. La oss nå se på noen teknikker, og gi en kort forklaring til hver teknikk. Merk: Det fins mange flere teknikker enn dette, det er til og med skrevet bok om det å lage gode passord...
Eksempel 1:
Passord: "Ds,ds-tsOB"
Forklaring: En ofte brukt teknikk er å velge første bokstav fra en kjent sang, et dikt eller en setning du selv lager. "Det snør, det snør - tiddelibom sa Ole Brumm" kan da gi passordet "Ds,ds-tsOB". Legg merke til at komma brukes i passordet. Det er ikke bare lov, men gjør det til et bedre passord. Passordet er dessuten lett å huske og består tilsynelatende av tilfeldig valgte tegn.
Eksempel 2:
Passord: "tull-geit:house"
Forklaring: En annen mye brukt teknikk er å slå sammen to eller flere ord, og så knytte disse sammen med et eller flere spesialtegn. I dette eksempelet finner du en blanding av engelske og norske ord, det er lett å huske, lett å skrive, har 15 tegn, men bare små bokstaver, og ingen sifre. De siste to kriteriene kan du selv bake inn på en enkel måte.
Eksempel 3:
Passord: "Berg1 er en fin by 03"
Forklaring:
- Dette passordet har 21 tegn, og det er mer enn nok
- Det er lett å huske og lett å skrive
- Det har spesialtegn (mellomrom)
- Det har store og små bokstaver
- Det har sifre i seg
- Dette passordet gjelder for mars måned (nr 03 tilsvarer mars). Når april kommer, og du logger inn, vil du fort oppdage at du skriver inn 03. Slik får du automagisk en påminnelse om at det er på tide å bytte passord. Det enkleste er å bytte til "Berg1 er en fin by 04", men det skader ikke å være mer kreativ. Det er sunt å bytte hele passordet.
- Dette er kort og godt et meget sikkert passord
Eksempel 4:
Passord: "Berg1 by@Vestland1.no"
Forklaring:
- Her kombinererer du ting som naturlig hører sammen (evt. som du later som at hører sammen). Bergen ligger på Vestlandet i Norge (no). Det er likevel nesten umulig å gjette et slikt passord, skjønt veldig lett å huske for deg.
- Oppbygningen som en e-postadresse fører til at du får brukt flere spesialtegn, og gjør det lett å huske.
- @ kan leses som engelske "at". ola@adresse.no betyr altså at ola hører til hos (at) adresse.no. Det kan du bruke til å lettere bygge opp gode passord
- @ er trolig å finne enkelt på alle tastaturer, også utenlandske.
Eksempel 5 - flere passord:
Det kan bli en utfordring dersom du har mange ulike passord. En god regel er å ikke bruke samme passord på mange steder, fordi dersom passordet ditt blir kompromittert (dvs at andre får tak i det) på ett sted, kan det brukes til å logge inn på andre steder. Det kan være lurt å benytte kategorier med middels, sikkert og meget sikkert nivå på passordene dine. Da trenger du tre passord å holde styr på.
En annen teknikk, er å ha ett passord for hvert eneste sted du skal logge inn på.
Passord: "arbeidRliv1@work.yes" - brukes på jobben. "famili1Rliv1@home.jippi" - brukes på hjemmemaskinen.
Forklaring:
- Arbeid er livet for mange. En slik setning gir store og små bokstaver til dette passordet. R kan leses "er" og 1 kan leses "et".
- Andre, kortere eksempler: "julestjerne@home" kan være passordet ditt på hjemme-maskinen i desember måned, mens "julebord@work" for eksempel brukes i jobbsammenheng. Fantasien er den eneste begrensning her.
- Disse passordene likner på en e-postadresse på formen "brukernavn@vert.land". Adresser i Norge benytter .no, så hvorfor ikke bruke .yes eller noe enda mer kreativt? Lett å huske for deg og vanskelig å gjette for andre.
4. Verdt å tenke over
Passordets styrke er bare en liten del av sikkerheten knyttet til et passord. Tenk over viktigheten av følgende:
- Del aldri ut passordet til andre.
- Memorer passordet, ikke skriv det opp. Skriv eventuelt opp tilstrekkelig informasjon til at du, og bare du, klarer å resonnere deg fram til riktig passord.
- Kategoriser de passord du har. Det beste er å ha unike passord for hvert system. Dersom du har mange, kan du dele inn i kategorier for grad av sikkerhet, for eksempel "viktig", "middels" og "usikkert". Du kan for eksempel klassifisere slik at passord relatert til jobben, brukes også i nettbank (siden begge er viktige systemer som bare du skal ha tilgang til). For å logge inn på din brukerkonto hos diverse websteder, din hotmail eller gmail-konto, etc. bruker du passord fra en annen kategori.
- Tenk over hvor og hvordan du bruker passordene dine. Ser noen over skulderen din? Går det an å lese på leppene dine hva du skriver (hvor mange sier vel ikke pinkoden inni seg ved betaling med VISA i butikken? :-)
- Ringer noen til deg og spør om passordet ditt, med begrunnelse i at de er IT-personell som må sjekke opp diverse ting? Sannsynligheten for at du blir utsatt for "Social Engineering" er stor. Dvs noen som prøver å lure deg til å oppgi passordet ditt.
- Passord skal byttes regelmessig. Et problem er å komme på passord, noe helt annet er å vite hvordan en faktisk kan få utført skiftet. Enhver virksomhet/bedrift/institusjon bør ha en sikkerhetspolicy og/eller veiledere som forklarer hva som må til for å bytte passord på for eksempel e-post, ansattPC, felles dataområder, nøkkelkort og liknende. I tillegg har du mange egendefinerte steder hvor du bruker passord. Det kan være lurt å notere seg disse og fremgangsmåte for å bytte (hvis det er vanskelig å huske)
- Hvor skriver du inn passordet ditt (i hvilke systemer)? Har du klikket på en lenke i en e-post eller på en hjemmeside du ikke kan si 100% at du vil stole på? Du kan bli utsatt for phishing, en form for "Social Engineering" hvor noen prøver å lure deg til et falskt nettsted. Den som har laget det falske nettstedet ønsker å "fiske til seg" passord og opplysninger som han/hun egentlig ikke skal ha. Dersom du prøver å logge inn på det falske nettstedet (i god tro), vil personen som lagde det falske nettstedet ha mottatt denne informasjonen og vil kunne bruke den på det ekte nettstedet, og slik klare å logge inn, identifisert som deg. Fiskes ditt e-postpassord opp, kan den andre lese e-posten din. Fiskes ditt nettbank-passord opp, kan du tape penger. Phishing er ekstra skummelt dersom du bruker det samme passordet ditt flere steder. I så fall kan "en uskyldig surfetur (du klikker på lenke i phishing-angreps-e-post) ende i en stor fisketur hvor angriperen får notet fullt av mange fisker".
5. Lenker og enda mer stoff om passord
Mer informasjon om passord:
Webbaserte verktøy du kan bruke.
- Passordgenerator - Få autogenerert et tilfeldig valgt passord
- Passordanalyse - Sjekk hvor sterkt passordet ditt er. Fra svenske Post og Telestyrelsen (PTS). Merk: SSL brukes i det du skal skrive inn selve passordet ditt. Du kan dermed være trygg på at ingen avlytter linjen og snapper opp de passord du vil analysere. Vær kritisk ved bruk av slike webbaserte verktøy. PTS i Sverige er en trygg aktør.