Nye retningslinjer for hvordan Iage sikre P@$$0rD

Trodde du at det kryptiske passordet ditt var trygt? Vel, en maskin knekker det sannsynligvis på få timer, eller i verste fall minutter. Slik lager du passord som vil ta århundrer å hacke.

Små og store bokstaver om hverandre, spesialtegn, tall og bytt ofte – omtrent slik lød de amerikanske retningslinjene for passord i 2003. Nå har National Institute of Standards and Technology (NIST) lagt om retningslinjene og Telenors Sikkerhetstjeneste (Telenor SOC) stiller seg bak anbefalingene.

Ut med de korte kryptiske passordene
Ulempen med tilfeldig sammensatte passord, er at de både er umulige å huske og kan være lette å hacke. Når man trenger flere passord, gir mange opp de kryptiske variantene og ender i stedet opp med korte og simple kombinasjoner som navnet på bikkja med små og store bokstaver etterfulgt av et tall, eller en gateadresse stavet baklengs.

Et halvhjertet forsøk på å lage memorerbare ”kryptiske” passord, til liten nytte. Om du i tillegg bruker det samme passordet til alle dine innlogginger, er du ille ute og bør sjekke om du har blitt hacket. Tjenesten Have I been Pwned er utviklet av sikkerhetseksperten Troy Hunt og er trygg å bruke, ettersom man kun skriver inn brukernavnet og ikke passordet.

Inn med memorerte hemmeligheter
NIST anbefaler alle passordbaserte tjenester å tillate passord på minimum 64 tegn og at brukere lager passord bestående av lengre setningsfraser, eller såkalte memorerte hemmeligheter. Det er altså lengden og originaliteten som avgjør om hvorvidt passordet lar seg hacke eller ei. Høres det vanskelig ut å huske så lange passord? Velger du et mantra eller de første ordene av favorittlåta (fritt oversatt til norsk for eksempel), bør det la seg memorere.

Sikkerhetsanalytiker i Telenor SOC Jan Roger Wilkens er enig med NIST, men mener det først og fremst er ett spørsmål du bør stille deg når du lager passord – nemlig om det er sannsynlig at andre kan ha tenkt på det samme.

I tillegg lister han opp tre sjekkpunkter:

  1. Bruk minst 12 tegn i passordet (helst mer, dersom tjenesten tillater det)
    – Noen tjenester har jo en begrensning i lengde på 8 til 12 tegn. Det er jo helt håpløst. Da er det umulig å lage lengre fraser. Men bruker du passord på minimum 12 tegn, er det langt nok for de fleste formål, sier Wilkens.
    – Bruk gjerne fraser på fire-fem ord, men ikke slagordet til tjenesten selvfølgelig, legger han til.
  2. Ikke bruk samme passord på flere steder
    Overraskende mange gjør fortsatt dette. Driver du en bedrift, kan konsekvensen være katastrofal om noen kommer seg inn i systemene og får tak på konfidensiell informasjon. Derfor bør også de ansatte være pålagt å ha ulike passord på alle tjenester.
  3. Bruk en passordmanager for å oppbevare passordene på et trygt sted
    – De største og best likte er 1password, Lastpass og Dashlane. Det blir jo av og til oppdaget svakheter i passord-managere, men alternativet er stort sett å bruke samme passord over alt, noe som jo er enda verre, sier Wilkens.

I tillegg anbefaler han å bruke to-faktor-autentisering på alle viktige tjenester, spesielt e-posten din, da denne er inngangsporten til å resette passord til andre tjenester du har.

Jo lengre, desto sikrere
Velg setninger bare du har et forhold til og ”knagger” som gjør dem enkle å huske. Du kan for eksempel la passordene dine ende på samme bokstav som tjenestene de tilhører. La oss si at passordet til gmail-kontoen din er jegerstukketavenmygg. Ingen spesialtegn, tall eller store bokstaver tilfeldig plassert, men i følge sikkerhetsselskapet Kaspersky Lab´s passordtest, vil denne frasen ta hele 10 000 århundrer å hacke. Det bør vel holde?

Når jeg skriver inn en kortere versjon av passordet, bestående av 8 tegn, senkes derimot sikkerheten betraktelig. En ordinær datamaskin vil bruke 4 måneder på å knekke passordet stikkmygg, mens verdens raskeste maskin kun vil bruke 4 sekunder.

For ordens skyld, Wilkens vil ikke anbefale å skrive inn passord i hverken Kaspersky´s passordtest eller lignende tester, enda russiske Kaspersky Lab anses for å være et seriøst sikkerhetsselskap. Kaspersky fraråder også å teste de ekte passordene på siden.

– Du kan aldri vite hva tjenesten gjør med passordet eller om uvedkommende kan få tak i det. Passordet skal kun skrives inn på den tjenesten der det faktisk brukes, understreker han.

– En kan i «verste fall» teste et lignende passord eller et passord bygget opp på lignende måte, avslutter Wilkens.

Hold deg oppdatert på nettsikkerhet og følg Telenor SOC på Facebook.