Er Sommerferie2014 et bra passord?

Sommeren 2014 er ferdig. På jobben venter passord som må byttes ut, enten fordi de er gått ut på dato, eller rett og slett fordi du har glemt dem. Hva skal man velge?

(Innlegget stod i Aftenposten på nett 28. august 2014)

Nils Petter Wien, fung. seksjonssjef i Nasjonal sikkerhetsmyndighet

I Nasjonal sikkerhetsmyndighet jobber vi blant annet med å teste hvor lett det er å bryte seg inn i datasystemer. Testene er nøye avtaleregulert, og utføres for å hjelpe norske virksomheter med å styrke sikkerheten sin. En enkel vei inn i mange datasystemer er passord som er lette å gjette seg frem til. Dessverre er jobben ofte alt for enkel.

Stjeler passord

De fleste hackere stjeler brukernes passord når de har brutt seg inn et datasystem. Dette gjør de for å opprettholde kontrollen over systemet. For å beskytte brukerne mot slike angrep, lagres passord kryptert. Derfor må hackerne knekke passordene. Dette kan de gjøre uten å måtte forholde seg til at du som bruker bare får noen få forsøk på å skrive riktig passord før kontoen din blir sperret. Passordkombinasjoner testes med en hastighet på flere milliarder tegn i sekundet. Ord fra norske eller utenlandske ordbøker, eventuelt kombinert med enkle kombinasjoner av bokstaver og tall knekkes i løpet av få sekunder. Jo lenger og mer komplekst et passord er, jo lenger tid tar det. Et dårlig passord kan knekkes i løpet av sekunder, mens det kan ta svært lang tid å knekke et godt passord.

Unødvendig enkelt

Nasjonal sikkerhetsmyndighets erfaringer viser at det er alt for enkelt å finne passord. Vi får som regel tak i minst en tredjedel av passordene som benyttes på et datasystem i løpet av få sekunder. Enkle passord gjør det unødvendig enkelt for en ondsinnet hacker å bryte seg inn i norske datasystemer med mye sensitiv informasjon.

Hvorfor er det slik?

  • Folk er ikke så opptatt av å lage sikre passord. Mange tenker gjerne at de ikke har noe å beskytte. Men for hackere som ønsker å stjele enten kredittkortinformasjon eller verdier fra stedet du jobber, er nettopp din brukerkonto en enkel vei inn. Derfor har i realiteten alle med en brukerkonto informasjon de trenger å beskytte.
  • Mange bruker passord som er lette å gjette, med ord som finnes i vanlige ordbøker. Vanlige kombinasjoner, som årstider og årstall, som «Sommerferie2014» eller «Julen2015», er dermed overraskende enkle å gjette seg frem til. Vi ser at passord som «Sommerferie2014» som regel er laget enten når folk ser frem mot sommeren, eller ser tilbake til en fin sommer.
  • Systemadministratorer er ofte ikke gode nok til å holde orden, og lar gamle brukerkontoer være tilgjengelige. En brukerkonto, og aller helst en konto med administratorrettigheter, er en åpen dør inn til virksomhetens datasystemer.
  • Datasystemer er ofte satt opp for å fungere, men ikke for å være sikre. Dermed har vi i dag mange datasystemer som mangler grunnleggende sikkerhet. Det er et stort problem, som er enkelt å rette opp for folk med IT-kompetanse.

Hva skal jeg gjøre?

Lag et godt passord som tar lang tid å gjette seg til, og følg retningslinjene som virksomheten du jobber i anbefaler. Ikke vær redd for å skrive ned passordet på en lapp, så lenge det ikke bryter med retningslinjene der du jobber, og du oppbevarer den på et sikkert sted (som ikke er i nærheten av tastaturet).

Sommerferie2014 er ikke et godt passord. Et godt passord er noe som gir mening for deg selv, men ikke for andre. Det bør være en kombinasjon av store og små bokstaver. Samtidig må vi huske på at det er lett å gjette at passordet begynner med en stor bokstav. Dermed bør du kanskje legge den store bokstaven et annet sted i passordet, eller helst bruke flere på forskjellige steder. Skrivefeil, kommafeil, dialekt og andre systemer som ikke er umiddelbart logiske er andre gode tips.

Sommeren 2014 var bra for svært mange av oss. Ikke gjør den like god for kriminelle som ønsker å hacke seg inn i datasystemet ditt.

comments powered by Disqus