Passordanbefalinger fra Nasjonal sikkerhetsmyndighet

Publisert: 04.10.2018

En søkbar database med lekkede passord har fått betydelig oppmerksomhet i media den siste tiden. Denne hendelsen viser viktigheten av å benytte flerfaktorløsninger for pålogging.

Flerfaktorautentisering (eksempelvis kode fra kodebrikke eller mobil i tillegg til passord) gir bedre beskyttelse enn passord alene. Slik autentisering er derfor Nasjonal Sikkerhetsmyndighets klare anbefaling.

Se veileder om bruk av fysiske sikkerhetsnøkler

Det er likevel situasjoner hvor autentisering med passord er nødvendig, enten alene eller som en av flere faktorer. NSM anbefaler noen metoder for å gjøre bruk av passord for autentisering så trygg som mulig.

Lange passord hvor det brukes små og store bokstaver, tall og spesialtegn er vanskelige å gjette for angripere, men dessverre også vanskelige å huske for brukere. Altfor ofte er resultatet at vi oppbevarer passordene på en lapp på kontorplassen, velger enkle passord vi klarer å huske, eller må bytte passordet etter å ha glemt det. Det er nødvendig å velge passord etter en metode som gir sterke passord som også er lette å huske. NSM anbefaler noen metoder for å gjøre bruk av passord for autentisering så trygg som mulig.

Antall tegn og spesialtegn

Det er noen iboende svakheter i bruk av passord for autentisering. Passord består av en streng med tegn (store og små bokstaver, tall, spesialtegn) som kan kombineres på et meget stort antall måter.

Antallet mulige kombinasjoner øker med antallet tegn i strengen. En måte å finne passordet vil være å gjette alle mulige slike kombinasjoner og datamaskiner kan gjøre dette raskt.

Er passordet av tilstrekkelig lengde vil det likevel ta lang tid å gjette det, det er anslått at passord på 16 tegn gir akseptabel beskyttelse med dagens teknologi. Bruk av spesialtegn vil ikke endre tidsbruken ved angrep vesentlig og er derfor av mindre betydning for å beskytte mot slike angrep.

En annen måte å angripe passord er ved å bruke lister av mye brukte passord og ordlister som utgangspunkt for gjettingen. Det virker fordi mennesker er ganske forutsigelige når vi skal lage passord. Vi bruker ofte varianter som er ganske like og gjenbruker ofte det samme passordet i flere systemer. Hvis passordet er langt og har mange spesialtegn er det også vanskelig å huske. Det blir anda vanskeligere hvis passordet må byttes ofte.

Bruk av passordfraser

Bruken av passord-fraser gjør det mye lettere for mennesker å huske lange passord som en datamaskin vil bruke lang tid på å gjette. Et angrep som kombinerer ord i en ordbok for å gjette passord-fraser vil kunne motvirkes med bruk av dialektord, slang, feilstavede ord og lignende. Hvis ikke angriperen kan forutsi hvilke ord som brukes i frasen vil de måtte falle tilbake til å prøve alle kombinasjoner. Lengden av passord-frasen blir da avgjørende.

Tidligere anbefalinger med spesialtegn vil kunne gi passord-fraser som:

         J1gbrukerF@cebOOkpaajobb1

Det tilfredsstiller lengde, kompleksitet, er en frase, men kombinasjonen vil være svært vanskelig å huske.

NSM anbefaler å heller lage en frase som er lengre, men lett å huske for brukeren:

         JegbrukerFacebookpåjobben

Enda bedre er hvis det også brukes dialekt og mellomrom:

         Je bruker Facebookpåarbe

Et passord vil være sterkt og unikt uavhengig av om det byttes ofte. Hyppige skifter kan få brukere til å velge enklere passord som er lettere å huske. Det anbefales derfor ikke rutinemessige bytter av passord, men hvis passordet stjeles aller avsløres på annen måte må det selvsagt byttes.

Gjenbruk av passord kan sammenlignes med å legge alle eggene i en kurv. Tap av passord vil da gi angriper tilgang til flere systemer. Dette er særlig et problem hvor passordet brukes i både sensitive og systemer med lav sikkerhet. NSM anbefaler å bruke passord i sikre og sensitive systemer som er ulike dem som brukes i systemer med lav sikkerhet. Bruk av passord-administrator kan underlette slike skiller, men den må da ha sterk passordbeskyttelse og sikres mot tyveri.

Det er nødvendig å tenke helhetlig for å beskytte mot dataangrep. Bruk av sterke passord og sikre autentiseringsmetoder er en del av grunnsikringen vi alle må gjøre for å beskytte oss. I tillegg anbefaler NSM at alle gjennomfører tiltakene beskrevet i «NSMs grunnprinsipper for IKT sikkerhet».   

Tiltakene bør stå i forhold til verdiene som beskyttes, og virksomheter bør praktisere strengere rutiner enn privatpersoner.

NSMs anbefaling for virksomheter:

  • Innfør to-faktor autentisering
  • Unngå at passord lagres i klartekst
  • Innfør rutiner for å kontrollere nye passord mot mye brukte og kompromitterte passord
  • Innfør rutiner for å bytte standardpassord på nytt utstyr
  • Gi brukere som trenger administratorrettigheter to kontoer

Det finnes også tjenester som https://haveibeenpwned.com/ der domeneeiere og IT-administratorer kan få varsler dersom en epost-adresse i domenet dukker opp i en lekkasje. 

NSMs anbefaling for enkeltindivider:

  • Bruk to-faktor autentisering der det tilbys
  • Bruk unike passord
  • Bruk passordhåndteringsprogrammer
  • Privat kan du også lage en passordliste med penn og papir, men beskytt dokumentet som et verdipapir
  • Alltid bytt standardpassord på produktene du kjøper

Se også Nettvett.no sin veileder "Slik lager du sterke passord".