Mobil

13 passordsynder du bør unngå

Dinside Stadig vekk opplever store nettsteder datainnbrudd, der brukernavn og passord kommer på avveie.

Heldigvis har de fleste nettsteder sikkerhet nok til at ikke selve passordet lagres, men en hashet utgave av det.

Men det er ikke nok

Det betyr at det egentlige passordet ditt kjøres igjennom en enveisfunksjon, der man lagrer resultatet av denne funksjonen. Den kan ikke kjøres i revers for å finne passordet ditt, men hver gang du logger deg på, kjøres denne funksjonen på passordet du oppgir for å matche resultatet mot det som er lagret hos tjenesten.

Allikevel – får hackere kloa i en database med hashede passord tar det overraskende kort tid å cracke de fleste av dem.

Med kraftig maskinvare kan de gjette i størrelsesorden hundre tusen millarder kombinasjoner – i sekundet.

Da nettstedet RockYou opplevde datainnbrudd i 2009 viste det seg at 40 prosent av brukerne hadde passord kun bestående av små bokstaver, 30 prosent hadde seks tegn eller færre i passordet og rundt én av 100 hadde passordet «123456»; verdens mest brukte passord.

Her er 13 passordsynder du bør unngå om du vil være sikker på nett:

#1 Du bruker ett av mest populære passordene

Enkelt og greit – lister med de mest brukte passordene er første stopp, og står passordet ditt på en slik liste kan vi garantere at noen kan stjele din brukerinformasjon på nullkommasvisj.

LES MER: De mest brukte passordene i 2014

#2 Passordet er i hovedsak et ord fra ordlista

Mange nettsteder krever at du har en minimum passordlengde; for eksempel åtte tegn.

Er du av dem som da bruker April123, Martin05 eller lignende er du et svært lett bytte. Har du så korte passord er det ekstra viktig at du holder deg unna ordlista, og spesielt ord som kan forbindes med deg som person.

Det skal lite til å finne ut hvilket fotballag du holder med, hva hunden din heter eller når du ble født.

#3 Du åpner med stor bokstav og avslutter med siffer

Undersøkelser viser at dette er hvordan veldig mange strukturerer passordet sitt når de blir tvunget til å bruke store og små bokstaver, samt sifre, som gjør at slike oppsett er noe hackerne forsøker tidlig når de skal cracke et passord.

Et typisk eksempel kan være Lramkaj1; et ord vi ikke finner i ordlista (i hvert fall ikke på språkene vi kjenner til), men som følger det nevnte mønsteret.

Da er det lurere å stokke på plasseringen av dem – 1lRAMkaJ ville ha blitt gjettet på et mye senere tidspunkt. Legg også merke til at dette passordet har flere store bokstaver enn små bokstaver, som er atypisk – statistisk sett.

#4 Passordet ditt inneholder ingen spesialtegn

SJEKK SELV:denne siden kan du se hvor lang tid det typisk vil ta å «brute-force» seg frem til et passord med variabel lengde og tegnsett.

Antar vi at hackere har fått kloa i en database med hashede passord og derfor kan prøve i «ro og mak» (og ikke over nettet), vil de kunne prøve veldig mange kombinasjoner i sekundet.

Her er noen typiske tider det vil ta å kjøre et «brute force»-angrep, der alle kombinasjoner prøves, kalkulert på denne siden:

  • Åtte små bokstaver: 2,17 sekunder
  • Én stor bokstav, seks små bokstaver og ett siffer: 37 minutter
  • Én stor bokstav, fem små, ett siffer og ett spesialtegn: 18,6 timer

Fortsatt er passordet bare åtte tegn langt, men som du ser tar det vesentlig lengre tid når du også bruker spesialtegn.

#5 Passordet ditt er for kort

Som vi så i det forrige avsnittet, er det ikke avskrekkende tider for en hacker som virkelig vil ha ditt passord. Men hva skjer når vi legger til flere tegn?

Her er noen eksempler der vi bruker tolv tegn, med den samme kalkulatoren:

  • Tolv små bokstaver: 11,5 dager
  • Fem store, fem små, to siffer: 1043 år
  • Fire store, fire små, to siffer, to spesialtegn: 174.000 år

Som du ser vil det i teorien ta lenger tid å cracke et passord med tolv små bokstaver, enn det vil gjøre om du bruker både store, små, tall og spesialtegn, men bare har et passord som er åtte tegn langt.

I et litt humoristisk intervju med John Oliver, tipser Edward Snowden om at man heller bør tenke passsetninger fremfor passord:

#6 Du lagrer passordet i nettleseren

Å lagre passordet i nettleseren er sjelden en god idé, selv om det selvsagt kan oppleves effektivt at nettleseren fyller inn passordet for deg når du skal logge deg på.

Et lite nettlesertriks (som virker i alle nettlesere) er alt som skal til for å vise passordet som skjuler seg bak stjernene i passordfeltet, så gjør for all del ikke dette om du deler maskinen med andre som ikke bør ha tilgang til nettkontiene dine.

#7 E-posten din er ikke godt nok beskyttet

Omtrent alle tjenester på nett har en funksjon for glemt passord; altså at du kan få tilsendt en lenke til å nullstille det dersom du har glemt det.

Og hvordan får du denne lenka? Per e-post, ja.

Sørg derfor for at epostkontoen din er beskyttet med et ekstra godt passord. Får uvedkommende tilgang til epostkontoen din, vil de i praksis ha tilgang til alle nettkonti via glemt passord-funksjoner. Ofte kan de finne hvilke tjenester du bruker ved å søke i epostarkivet også, og de kan endre passordet slik at du ikke kommer inn selv lenger.

Med andre ord: Om du bare orker å ha ett langt og komplisert passord – sørg for at det er til eposten din.

#8 Du biter på phishing

Kort fortalt er phishing det å lure noen til å tro at en nettside er en annen enn den utgir seg for å være.

Du kan få tilsendt en epost fra «banken» med beskjed om å logge inn for å rette en feil. Du klikker på lenka i eposten og ser en side som tilsynelatende er innloggingssiden til nettbanken din, men som ikke er det, noe du kan avsløre fra URL-feltet.

IKKE FRA BANKEN: Heldigvis er de fleste phishing-eposter skrevet på dårlig norsk, men mange biter på allikevel.

LES MER: Er eposten ekte, eller er det phishing?

Gjør du ikke det, kan du brått ende opp med å sende fra deg brukernavn og passord til uvedkommende.

Nå er det ikke helt krise akkurat i forhold til nettbanker, siden de som regel tilbyr tofaktorautentisering; altså at du trenger en fysisk enhet i tillegg til passordet ditt (for eksempel BankID-brikke eller mobiltelefon/SMS).

Hvilket tar oss til neste punkt:

#9 Du bruker ikke tofaktorautentisering

Mange nettjenester tilbyr tofaktorautentisering. Som nevnt i forrige avsnitt handler det om at du trenger to ting for å logge på tjenesten – passordet ditt, samt en fysisk enhet; som regel i form av en kodebrikke, en app som genererer engangskoder eller en mobiltelefon der du får tilsendt en engangskode pr SMS.

(Foto/montasje:: GABE WILL/PÅL JOAKIM OLSEN)

SIKRERE: Med passord og engangskode for å logge på, kan du ekstra trygg på at ikke uvedkommende får tilgang til kontoen din. (Foto/montasje:: GABE WILL/PÅL JOAKIM OLSEN)

Bruk det! På nettstedet twofactorauth.org finnes det en god oversikt over kjente nettsteder som tilbyr en slik løsning. Har du eposten din hos Google, filene dine hos Dropbox, kredittkortene hos PayPal og notatene dine på Evernote – bruk tofaktorautentisering på dem alle. Om passordet ditt skulle havne hos uvedkommende vil de ikke få logget på med mindre de også har mobiltelefonen din. Det er en god trygghet.

LES OGSÅ: Sikrere på nett med Authy

#10 Du blir spionert på

Spionvare er et begrep på programvare som kjører på en PC og som spionerer på aktiviteten brukeren foretar seg; for eksempel i form av en keylogger, som sender alle tastetrykk på PC-en til uvedkommende.

Ofte kan slike programmer følge med «på kjøpet» om du laster ned gratisprogrammer, om du laster ned fra piratnettsteder eller åpner epostvedlegg du ikke burde ha åpnet.

For å bøte på dette, bør du sørge for å bruke et antivirusprogram og holde det oppdatert. Det er også en god idé å skanne igjennom maskinen fra tid til annen.

Om du lurer på hvilket du bør velge, siterte vi en tysk test av sikkerhetsprogrammer tidligere i år.

#11 Du bruker fremmede nett ukritisk

Det er lett som en plett for en hacker å sette opp et trådløst nett som lurer deg til å koble deg på når du er ute på farten, eller å overvåke et ukryptert nett som du ofte finner på kafeer og lignende. Da er det også lett å plukke opp passord og annen sensitiv informasjon du sender fra deg.

Dersom du er nødt til å koble deg til et ukryptert trådløst nettverk på et ukjent sted, bør du i det minste sørge for å bruke en VPN-tjeneste, slik at all trafikk til og fra din maskin krypteres og rutes via en «tunnel» utenfor det trådløse nettverket du er koblet til.

LES MER: Surf sikkert med VPN

#12 Du bruker fremmede maskiner ukritisk

TAR OPP ALLE TASTETRYKK: Såkalte keyloggere finnes i mange varianter – også som gratisprogram man kan installere på en hvilken som helst PC.

Er du på utenlandsreise uten å ha med en egen PC, kan det være fristende å sette seg ned på en nettkafé og betale for en time med nettsurfing.

Bruker du fremmede maskiner vet du imidlertid aldri hva som er installert på dem – i verste fall kan noen (også andre gjester) ha installert en keylogger på maskinen, som fanger opp alle tastetrykk.

Da kan man lett kan lese av brukernavn/passord-kombinasjoner mens du holder på, eller etter at du har gått.

Tofaktorautentisering (forrige punkt) er kjekt i så måte, siden du da også må oppgi en kode fra telefonen din for å logge på, slik at det ikke bare er for nestemann å gjenta bedriften.

Et varsko, dog – det er dumt om du har brukt den samme brukernavn/passord-kombinasjonen andre steder på nett.

Hvilket bringer oss til den største synden:

#13 Du bruker det samme passordet overalt

Du vet ikke hvordan ulike nettjenester oppbevarer passordet ditt. I verste fall lagrer de passordet i klartekst, som betyr man ved et eventuelt datainnbrudd vil kunne lese alle passord – uten en gang å prøve å cracke dem.

Selv store aktører som Sony har gått på den smellen da deres PSN-tjeneste opplevde datainnbrudd i 2011.

Da er det veldig dumt om brukernavn/passord-kombinasjonen fungerer på veldig mange andre nettsteder også.

Sørg i det minste for at nettjenester som er knyttet til din identitet, privat informasjon og betalingsmidler er beskyttet med hvert sitt unike passord.

Det beste er om du har ett unikt passord for hvert nettsted, enten du lager deg egne regler for hvordan du lager passordet basert på navnet på tjenesten (eller ord du forbinder med den), eller om du velger å bruke en passordtjeneste som Lastpass, Dashlane, 1Password, Keepass, Roboform eller lignende.

Mer om smarte teknikker for å lage unike passord pr nettsted kan du lese om i denne artikkelen.

Vi har tidligere laget en grundig guide til en av de mest populære passordtjenestene, LastPass:

LastPass: Unike passord til alle nettsteder

Kilde for: Mobil – DinSide.no