Passordregler til besvær og sikkerhet
Vi har alle benyttet nettsider og tjenester som krever kompliserte passord. Våre nettsider er ikke noe unntak. Vi får en del spørsmål om hvorfor vi er så vanskelige, og nå skal vi se litt nærmere på hva som gjør at vi har slike passordsjekker som vi har.
Mange av våre kunder har virksomhetskritiske tjenester hos oss. Det kan være en epostkonto, en nettside eller domenet i seg selv. Disse er beskyttet med et passord. Kommer dette på avveie vil en utenforstående kunne få tilgang til nettsider, domeneadministrasjon og epostkontoer. Og hvor mange kontoer på forskjellige tjenester er koblet til dine epostadresser? Derfor er det viktig at disse passordene er sikre.
Vi har lenge hatt krav om minst en liten bokstav og en stor bokstav og ett tall. Årsaken til dette er at utvalget av tegn som må benyttes skal bli større. Hadde vi ikke hatt dette kravet kunne man ha hatt et passord bestående utelukkende av små bokstaver. Det vil i praksis si 26 tegn, siden æøå ikke er tilgjengelig i alle systemene. Hvis man har et passord på 8 tegn vil man kunne ha ca. 209 milliarder forskjellige kombinasjoner.
268 = 208 827 064 576
For å sette disse tallene litt i perspektiv så kan et vanlig brukt verktøy for å knekke passord teste 450 000 passord i sekundet dersom den har direkte tilgang til databasen (selvfølgelig avhengig av hvilken metode som er brukt for å lagre passordet). Det vil da ta et slikt program på en relativt vanlig maskin litt over 5 dager å teste ALLE kombinasjoner.
Ved å legge inn de kravene om minst en liten bokstav og en stor bokstav og ett tall, blir utvalget av tegn 64. Fordi tre av tegnene er allerede bestemt at skal tilhøre en spesiell klasse, vil antallet unike kombinasjoner nå kunne bli over seks billioner. Nesten 30 ganger flere kombinasjoner enn med bare små bokstaver, og vi er oppe i 159 dager for å teste alle kombinasjoner.
262 * 625 * 10 = 6 193 057 944 320
Dessverre er vi mennesker ganske late og velger, som elektronene, minste motstands vei og tar en stor bokstav, seks små bokstaver og ett tall. Da blir det faktisk færre kombinasjoner enn hvis alle tegnene var i små bokstaver. Her ville datamaskinen kunne bruke 2 døgn på å teste alle kombinasjonene.
267 * 10 = 80 318 101 760
Men så kommer det store problemet, passordene vi lager selv er ikke så tilfeldige som vi skal ha de til. Hvem har ikke hatt et passord med navnet til barna og fødselsår eller dato? Navnet på tjenesten man skal logge inn på? Eller det første vi leste eller observerte når vi skulle opprette passordet?
For å begrense dette problemet har vi lagt inn en liste over ord og stedsnavn samt ordlister fra diverse nettsider som tilbyr lister med de mest brukte passordene. I tillegg gjør vi en sjekk på om man har gjort enkel modifikasjon av et ord. For eksempel skrevet “Passord” slik “P4s50rD”. På denne måten unngår vi korte enkle passord, og vil man ha et kort passord må det være komplisert. Det er også slike ordlister og modifikasjoner på ord et program for å knekke passord vil prøve først.
For de som ikke husker et tilfeldig sett med bokstaver og tall, så tillater vi at man bruker ord i et passord så lenge ordet ikke er lengre enn en tredjedel av det totale passordet. Så bruker du tre ord pluss noen tall, så vil du få lov å bruke det som passord hos oss. Det er faktisk sikrere enn å ha et tilfeldig passord på åtte tegn.
Det norske språket består av mer enn 64 000 ord som har mellom fire og ni tegn. Med tre av disse ordene har man 262 billioner kombinasjoner. Og den maskinen vi beskrev ovenfor ville bruke 6742 dager eller 18 år på å teste alle kombinasjonene.
64 0003 = 262 144 000 000 000
Her har vi ikke tatt høyde for små og store bokstaver, i tillegg du kan legge på en null på antall kombinasjoner for hvert tall du inkluderer. Igjen må vi huske på at vi ikke så tilfeldig og unik som vi tror vi er. Hvilke ord vi velger vil kunne påvirkes av hva vi opplever i det øyeblikket vi lager passordet, den situasjonen vi er i, hvilke TV-programmer vi har sett og hvilket språk vi benytter. Det er også sannsynlig at de ordene vi velger har en mer eller mindre logisk setningsoppbygging, for eksempel “Grønn stor blokk”.
Her er løsningen å bruke en datamaskin til å plukke ut hvilke tre ord vi ønsker å benytte, den kan trekke ut tilfeldige ord fra en ordliste. Alternativt kan du bruke en ordbok og en terning.
Vår passordgenerator (“Lag passord”-knapp som fins der man endrer passord i vårt kontrollpanel) bruker fire eller fem ord fra en stor ordliste, slik at det også skal være relativt trygt for fremtiden, ikke bare med dagens hastighet på passordknekking. Vi anbefaler at du bruker denne, eller en passordgenerator, f.eks. Codebook fra Zetetic, LastPass, 1Password eller liknende.
Noen passordtips helt til slutt:
- Ikke bruk samme passord til flere innlogginger
- Ikke bruk deler av det samme passordet til flere innlogginger
- Bruk spesialtegn
- Passordet bør være så langt som mulig
- Bytt passord dersom du tror det kan være på avveie
- Skriv ned passordene og oppbevar de på et sikkert sted
- Ikke benytt ord eller uttrykk som kan linkes til brukernavnet eller deg selv
- Aktiver tofaktor-innlogging hvor det er mulig
- Bruk kryptering når du er på åpne nettverk
- Beskytt deg mot datavirus, noen av de er laget for å snappe opp passord og kredittkortdata.