GUIDE: Passordhåndtering
Guide

Passordhåndtering

Hvordan overlever man passordkaoset, men samtidig tar sikkerheten på alvor?

Annonsør­innhold
Les hele saken »

Passordhåndtering

Hensikten med denne guiden er å gjøre det enklere for brukere å definere et godt passord. Vi bruker jo passord "overalt", og det kan være vanskelig å bli motivert til å bruke et passord som er sikkert nok. Denne guiden skal forsøke å fortelle hva som er et sikrere passord, og gi et tips om hvordan man enklere kan huske passord, pluss å gi tips om programmer som kan brukes til å håndtere passord.

I tillegg til gode passord, er det lurt å beskytte datamaskinen med et godt antivirusprogram, og en brannmur i datamaskinen.

Mange brukere tar ikke passord på alvor

Flere undersøkelser viser at mange brukere er svært lite opptatt av ordentlig passordpolitikk, noe som gjør datainnbrudd enklere.

  • En undersøkelse gjennomført av sikkerhetsselskapet Bitdefender viser at 75 prosent av brukernavn og passord som brukes i sosiale tjenester, er identiske med brukernavn og passord som brukes i e-post. Undersøkelsen avslører at det er svært enkelt å finne frem brukernavn og passord i blogger og andre sosiale tjenester, og bruke disse til å få enkel tilgang til andres e-postkonti.

  • Ifølge forskere ved Georgia Tech Research Institute er det blitt enklere med datainnbrudd via dårlige passord. Det gjelder spesielt bruk av korte passord. Årsaken er at datamaskiner er etter hvert fått kraftigere komponenter som gjør det enklere å avsløre passord med "brute force", det vil si gjetting av ulike kombinasjoner av et passord.

Tips om valg av passord

Det finnes flere metoder som angripere bruker til å avsløre et passord. De bruker gjerne programmer som gjør det mulig å gå systematisk til verks, dersom det dreier seg om "brute force" eller "ordboksmetoden".

Metodene er som følger:

  • "Brute force" går ut på å gjette på alle mulige kombinasjoner av tegn, helt til det riktige passordet finnes. Jo flere tegn et passord har, jo lenger tid tar det før en angripere eventuelt klarer avsløre passord med denne metoden.

  • "Ordboksmetoden" dreier seg om å bruke ordbøker, og eventuelt andre kilder til å finne riktig passord. Det dreier seg med andre ord om gyldige ord som er i bruk i ett eller flere språk, eksempelvis "passord" eller "password", eller et hvilket som helst ord som finnes i en ordbok. Det er også snakk om tegn som er enklere å taste på tastaturet, eksempelvis 1234, qwerty eller asdf.

    Undersøkelser viser at ganske mange går i denne fellen, og velger passord som er veldig lett å finne frem. Ifølge sikkerhetsselskapet Imperva er 123456 det vanligste passordet – dette er resultatet av en analyse av nettstedet rockyou.com hvor passord ble lekket på nettet.

    Dersom du unngår å bruke ord i passordet som finnes i ordbøker, eller som utgjør navn på personer eller dyr, har du en god beskyttelse mot denne metoden.

  • Andre
    Alternativene er ganske mange, men de er gjerne situasjonsbetinget. Dette er noen eksempler:

    • Hvis passord er blitt skrevet ned på papir, kan dette komme i uvedkommendes hender.
    • Lagret i en ukryptert datafil. Et skadelig program kan brukes til stjele slike.
    • Keylogger-programmer kan brukes til å avlytte tastaturet.
    • Uvedkommende kan være fysisk tilstede, og dermed se mens du taster passordet.
    • Et videokamera kan brukes til å overvåke tastingen, og dermed avsløre et passord.

    I slike tilfeller (det vil si når det gjelder kategorien "andre") hjelper det lite hvor langt eller komplisert passordet er, men da må man i tillegg sørge for å ha gode sikkerhetsprogrammer installert, og sørge for at ingen ser på deg når du taster passordet.

Basert på disse ulike metodene kan vi gi følgende råd om valg av et godt passord og en god passordpolitikk:

  • Ikke bruk et ord som er i vanlig bruk, eksempelvis et ord som finnes i ordbøker eller navn på mennesker eller dyr.
  • Bruk gjerne kombinasjon av bokstaver, tall og blanding av store og små bokstaver.
  • Unngå å gjenta samme tegnet mange ganger i samme passordet.
  • Unngå å bruke tegnkombinasjoner som er enkelt å taste, eksempelvis 12345678, qwerty eller asdfghjk.
  • Jo lengre et passord er, jo bedre. Det bør være minimum 8 tegn, og gjerne 12 tegn eller mer.
  • Unngå å bruke samme passordet i mange forskjellige tjenester.
  • Et passord bør endres regelmessig.

Det er i utgangspunktet en god tanke å bruke norske tegn i et passord, men dette kan skape problemer dersom du skulle bruke utenlandsk tastatur, og derfor bør du unngå å bruke tegn som ø, æ eller å.

Bruk egen frase

Passordet bør ikke skrives ned på papir, og derfor bør du lage et passord som er forholdsvis lett å huske. Et godt tips er å legge det inn i en frase, eksempelvis "det Bor over 4 og en Halv millioner Mennesker i Norge: dermed blir passordet dBo4oeHmMiN

Passordgeneratorer

Det finnes en rekke programmer og tjenester som kan brukes til å lage passord med tilfeldige tegn basert på brukerens kriterier. Problemet med disse tjenestene er at det er vanskeligere å huske passordet, enn dersom man lager et passord som er basert på egen frase, men ved bruk av programmer som husker slike passord, blir håndteringen enklere.

Passordanalyse

Det finnes mange nettsider som tilbyr analyse av passord, det vil si du kan skrive inn et eksempel på et passord, og nettstedet forteller deg hvor sikkert et passord er. Du bør i utgangspunktet ikke skrive inn et reelt passord, det vil det du faktisk har tenkt å bruke, men gjerne noe som ligner. Hensikten med slike tjenester er først og fremst å gi brukeren en bedre generell forståelse om hvordan et godt passord kan se ut.

Dette er bare noen få slike tjenester:

  • Microsoft.com forteller deg hvor sikkert et passord er fra skal fra "Weak" til "Medium", "Strong" og "Best", hvor "Weak" er et dårlig passord, mens "Best" er et godt passord. Microsoft mener et passord bør ha 14 tegn eller flere tegn.

  • Howsecureismypassword.net bruker Javascript til å estimere tiden det tar å avsløre et bestemt passord. Testen er basert på et eventuelt "brute force"-angrep, det vil si at angriperen prøver alle kombinasjoner inntil passordet er funnet. Jo flere tegn i passordet, jo lengre tid tar avsløringen.

  • Passwordmeter.com foretar en analyse av et passord. Analysen starter på første tegn, og fortsetter fortløpende etter hvert som du skriver inn flere tegn.

Det kan også nevnes at mange aktører (som tilbyr tjenester hvor innlogging er nødvendig) gir brukeren veiledning i passordvalget, det vil si vedkommende får gjerne beskjed om et valgt passord anses som sikkert nok eller ikke, i det vedkommende er i ferd med å opprette et passord til bruk for den aktuelle tjenesten.


Bilde: keepass.info

Programmer

Her finner du programmer som gjør det enklere å håndtere passord. Dette er programmer som eksempelvis kan brukes til å huske mange passord, og som på den måten kan gjøre hverdagen enklere. Det kan nevnes at en nettleser har som regel en egen funksjon som kan brukes til å huske passord for nettjenester.

Keepass

Vi tar først en gjennomgang av programmet Keepass fordi det er gratis, enkelt å bruke, og det er basert på åpen kildekode. Programmet er i utgangspunktet utviklet for Windows, men det finnes også uoffisielle utgaver for Linux og Mac. Alle passord kan lagres i én kryptert (AES) database med ett passord, slik at du kun trenger å huske det ene passordet, og det er programmet som holder oversikten. Databasen kan synkroniseres mellom flere datamaskiner i et nettverk. Keepass kan eventuelt også brukes fra en minnepinne, og kan da kjøres på Windows-PC-er uten at installasjon er nødvendig. Det finnes også en rekke tilleggsprogrammer for Keepass.

Keepass kan lastes ned fra keepass.info, og en norsk språkversjon er eventuelt tilgjengelig fra denne siden. Språkfilen lastes ned og installeres via menyvalget View, Change Language.

Ny database opprettes via menyvalget File, New. Her oppretter du et Mastepassord, det vil si det eneste passordet du trenger å huske ved bruk av programmet Keepass.

Du vil nå få opp et nytt vindu med en mappestruktur, og muligheten til å opprette passordene som programmet skal holde oversikt over. Velg Edit, Add Entry, eller hurtigtasten CTRL+Y for å legge inn et nytt passord. Du kan skrive inn en tittel og beskrivelse av innlegget som skal få passordet.

Andre programmer/tjenester

  • Last Pass er nettbasert passordhåndterer som kan brukes til å lagre nettsideinnlogginger på ett sted. Brukeren trenger kun å huske ett masterpassord. Dersom du logger deg inn på et nytt nettsted, vil programmet automatisk foreslå at passordet blir husket. Programmet kan også brukes til å fylle ut skjemaer på nettsider automatisk.

  • Passwordsafe er gratis passordhåndterer som fungerer med både Windows, Mac og Linux. Passordene lagres i én database som er kryptert, og som kan synkroniseres til andre datamaskiner.

  • Clipperz er en nettbasert tjeneste. Du får tilgang til dine passord fra en hvilken som helst datamaskin som er tilknyttet nettet.

  • Mitto er en annen nettbasert passordhåndterer som kan brukes til å logge på forskjellige nettsteder.

  • Roboform er en passordhåndterer som kan brukes til å logge inn på nettsider via ett klikk. Et passord brukes for all innlogging, og informasjonen er kryptert med AES-kryptering. Programmet kan også brukes til å fylle ut skjemaer på nettsider automatisk.

  • Roboform2go er portabel versjon av Roboform, en passordhåndterer som kan brukes direkte fra en minnepinne. Programmet blir knyttet til Internet Explorer eller Firefox (programmet støtter kun de to nettleserne), og gjør det mulig med automatisk innlogging på nettsteder via en verktøylinje. Prosessen legger ikke etter seg noen spår når minnepinnen fjernes. Programmet kan brukes til å fylle ut skjemaer på nettsider, og det bruker AES-kryptering. Gratisversjonen tillater opptil 10 innlogginger.

Norges beste mobilabonnement

Sommer 2018

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1 GB


Jeg bruker middels mye data:

Komplett MedioFlex+ 6GB


Jeg bruker mye data:

Chili Fri Data


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen