Hvordan velge et godt passord

Et godt passord er et passord som ikke teoretisk eller i praksis kan knekkes før informasjonen passordet beskytter er harmløs/verdiløs. Med det menes at det skal ta så lang tid å klare å knekke passordet at all informasjon man kan få tilgang til ved å vite passordet er utdatert, harmløs og verdiløs. For noe informasjon kan det være snakk om uker/måneder, mens annen informasjon aldri skal kunne komme på avveier. Dermed kan kravet til hvor godt et passord skal være variere.

Uansett: Det er en god regel å kun bruke gode passord, uansett hva passordet brukes til.

Hva gjør hackerne?

Før jeg sier mer om hvordan man kan velge seg et godt passord skal jeg si litt om hvordan hackerne opererer for å finne passordet ditt. Det kan være nødvendig for å skjønne hvorfor det er så viktig med gode passord.

En hacker har via en moderne PC tilgang på enorm regnekraft, og kan i teorien gjette flere millioner passord i sekundet fra en enkelt PC. I tillegg er det veldig ofte programmer som gjør jobben for hackeren, og programmet bryr seg lite om ditt passord er «arnebjarne», «abcdefgh» eller «qwertyui». Før eller siden vil en hacker klare å gjette passordet ditt, og da er det viktig å sørge for at «før eller siden» er så langt inn i fremtiden som mulig. Det gjør vi ved å legge til spesialtegn og bruke lange passord når vi skal bytte passord.

Hackerne har flere metoder for å komme seg inn på din maskin, deriblant disse:

  • «Brute force»
    Hackeren gjetter repeterende hva passordet er, gjerne via et program som gjør dette automatisk. Dette tar lang tid, og jo lenger og mer komplekst passordet er, jo vanskeligere er det å gjette.
  • Ordbok-angrep («Dictionary attack»)
    Ordbok-angrep er et «brute force»-angrep. Man tar utgangspunkt i en elektronisk ordbok, og bruker spesialprogramvare som prøver å logge på gang på gang med ett og ett ord fra ordboken som passord.
  • Tastatursniffer («Key logger»)
    Enten installerer man en liten enhet som plukker opp alle tastetrykk i enden av tastaturledningen, eller så installerer man et program på PCen som registrerer alle tastetrykk. Dermed får man også plukket opp brukernavn/passord blant alt det andre man får registrert.
  • Sosial manipulering
    Hackeren bruker all tilgjengelig informasjon om deg til å finne passordet ditt. Det kan bety å gå gjennom søppel, bryte seg inn og se om du har lapper med passord skrevet ned og gjemt under tastaturet, i en skuff eller tilsvarende. De kan også f.eks. ringe og utgi seg for å være fra IT Support og enkelt og greit be om brukernavn og passord for å verifisere at alt fungerer som det skal. Overraskende mange lar seg lure av nettopp dette.

Det finnes flere andre metoder for å tilegne seg passord og tilgang, men å liste disse får bli til en annen gang.

Hva gjør du?

Så til passordene og hvordan du kan beskytte seg…

Det er to ting som kjennetegner et godt passord:

  • Det er lett for deg å huske
  • Det er vanskelig for andre å gjette

Utfordringen er å finne en god kombinasjon av de to kjennetegnene.

Her er noen gode tips til hvordan du kan velge et godt passord

  • Hold deg unna ordbøker!
    Ikke velg deg et passord som står i en ordbok, uansett språk og fagområde.
  • Dropp kjente navn
    Hold deg unna navn på familie, venner, andre personer, husdyr eller ting som kan knyttes til deg.
  • Lengde
    Et langt passord er bedre enn et kort passord. Jo lenger et passord er, jo vanskeligere er det å gjette. Unngå for all del passord som er kortere enn 8 tegn langt, og bruk helst 10-12 tegn eller mer.
  • Kompleksitet
    Bruk både store og små bokstaver, samt tall og spesialtegn (@&_! osv). Bytt ut bokstaver med spesialtegn og tall som ligner, som i disse eksemplene:

    a = @ i = 1 K = X
    A = 4 i = ! o = 0 (null)
    b = 6 g = 9 T =7

    Poenget er å bruke spesialtegn som ligner litt på det tegnet det erstatter, så man fremdeles husker hva det opprinngelige ordet er.

  • Passordbytte
    «Passord er som tyggegummi – de er best når de er ferske!». Bytt passord mer eller mindre regelmessig. Behold ihvertfall ikke det samme passordet i flere år.
  • Gjenbruk
    Bruk aldri det samme passordet på flere tjenester, og ikke bruk «fortløpende» passord med en økende teller (hemmelig01, hemmelig02, hemmelig03 osv).
  • Flett sammen to ord
    Velg deg to ord du husker, f.eks. sommer og ferie. Flett disse sammen til et nytt ord, med annenhver bokstav fra de to ordene du valgte: sfoemrmieer. Varier med store og små bokstaver og legg til et spesialtegn eller to, så har du et passord som er veldig vanskelig å gjette: «_$Foemrm1eer!«
  • Passordfrase
    I stedet for å huske et kryptisk passord kan du lage en lang passordfrase (en setning) som er lett å huske, men vanskelig å gjette.

Et eksempel på hvordan man kommer fram til et godt passord ved bruk av en passordfrase

Lag en lang passordfrase som er lett å huske, men vanskelig å gjette. Bruk en verselinje fra en sang, et dikt, fjerde setning på side 27 i den siste boka du leste eller noe helt annet. La oss ta utgangspunkt i setningen «Ja, vi elsker dette landet, som det stiger frem», og så lager vi noen varianter:

  • Passordfrasen din kan f.eks. være «JaViElskerDetteLandetSomDetStigerFrem«, men denne består kun av ord fra en ordliste.
  • Bytt deretter ut noen bokstaver med tall og spesialtegn: «J@,ViElskerDetteLandet,$omDet$tigerFrem!«.
  • Vil du ha et kortere passord bruker du kun forbokstavene i hvert ord, varier med store/små bokstaver og tall og bruk spesialtegn: «J,vEdL,$d$f!«. Fremdeles er det mulig for deg som kjenner «koden» å se at dette er en forkortelse for «Ja, vi elsker dette landet, som det stiger frem», men for en utenforstående vil det være veldig vanskelig å gjette seg til hva passordet er. Hvis du velger å forkorte, så sørg for at forkortelsen blir minst 10 tegn, helst 12 eller mer.

Så hvorfor bruker man en passordfrase i stedet for et passord?

Jo, det er mye enklere å huske en passordfrase enn et tilfeldig, kryptisk passord. Alle klarer å huske første linje fra nasjonalsangen vår, og det på kort tid. Selv om man forkorter denne frasen vil det være relativt lett å huske, ihvertfall etter å ha brukt det nye passordet noen få ganger. Å skulle huske en helt tilfeldig og kryptisk tegnsekvens, f.eks. «T@b.Ny$Pb!M«, er mye vanskeligere. Det er i utgangspunktet en helt meningsløs tekststreng for den som skal bruke passordet, og dermed er det større risiko for at brukeren skriver ned passordet for å være sikker på å huske det.

Min anbefaling

Min anbefaling er å bruke enten to sammenflettede ord eller en passordfrase som utgangspunkt, og så sørge for noen spesialtegn og en minimumslengde på 12 tegn (hvis man forkorter). Begge disse «formlene» er relativt forutsigbare for deg, men gir et resultat som en hacker vil slite med å finne ut av.

4 kommentarer til “Hvordan velge et godt passord

  1. Flott artikkel! Passord syndes det definitivt ekstremt mye mot. Alle IT-ansvarlige bør sørge for å ha strenge regler for passord, selv om det nok blir litt problemer med brukere som ikke husker passord på 9-10 tegn.

    Jeg benytter meg av programmet Revelation til å håndtere mine passord. Det vil altså si at jeg har alle passord lagret i en kryptert fil som er beskyttet med et master-passord (dette passordet benytter jeg forøvrig ikke noe annet sted).

    Revelation kan generere passord, så for de aller fleste tjenestene jeg ikke trenger å ha passordet i hodet benytter jeg forskjellige genererte passord med en kombinasjon av store/små bokstaver og tall. Passordene legger jeg inn i Firefox slik at jeg slipper å huske 40 forskjellige random passord, men på de tjenestene jeg bør ha passordet i hodet (f.eks epost) benytter jeg passord jeg kan huske.

  2. Takk for det, Audun. Jeg satt på jobben og fikk ideen om å skrive noen ord om passord – egentlig for intern bruk på jobben. En titt på klokken avslørte at den hadde passert arbeidstid, så da ble det et innlegg på bloggen til almen nytte i stedet. Jeg får heller la arbeidsgiver bruke dokumentet. 🙂

    Jeg har lenge vært skeptisk til passordhåndterere, med begrunnelsen at hvis master-passordet slipper ut, så er alt fritt villt. Ikke har jeg funnet noen passordhåndterer til Windows som har tilfredsstilt mine ønsker heller.

    Tanke: Jeg holder på å sette opp den nye PCen min på jobben nå, og har lagt inn Windows 7 som hovedoperativsystem. Kanskje jeg heller skulle ta steget over til Linux, og kjøre Windows som en VM? Jeg har jobbet med tanken ved de siste 2-3 maskinbyttene, så det er muligens på tide…

  3. Det stemmer at man har et problem hvis master-passordet slipper ut – men de fleste mennesker klarer å lære seg en passordregle som ikke bunner i noe logikk. Bruker man et passord som ikke inneholder et ord, samt at man aldri bruker det passordet til noe annet.

    I tillegg må man selvsagt passe på at filen ikke ligger lett tilgjengelig, selv om den er kryptert. Gi den et «rart» navn, legg den i en skjult mappe, og krypter gjerne mappen (eller hele hjemmeområdet hvis du bruker GNU/Linux). Da blir ikke området dekryptert selv om du får tilgang som root. Man må altså først få tak i maskinen din, så logge seg inn med din bruker, finne filen OG vite master-passordet. Jeg føler meg i det minste trygg slik, og tenker at det er et stort steg forbi det å bruke samme passord på flere nettsider.

    Når det gjelder bytte av OS er det vel bare å prøve? Hvis du ikke er avhengig av Windows-applikasjoner, evt. bare av de som gjerne kan kjøre i f.eks Virtualbox (eller Wine for den saks skyld) og er interessert i å benytte GNU/Linux som hovedoperativsystem ser jeg ingen grunn til å vente. Selv kjører jeg Ubuntu på jobb-maskinen, og Windows XP i en virtuell maskin (som igjen er tilknyttet IT-systemet slik at jeg lett kan feilsøke problemer for brukere).

    Du kan jo uansett bytte tilbake når som helst 🙂

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.