Jepp, passordene våre er fortsatt dårlige
Årlig undersøkelse viser at det stadig er mange svake passord der ute.
NordPass, en populær passordtjeneste, har publisert sin årlige passordundersøkelse for 2021 – og funnene viser at vi stort sett benytter de samme svake passordene som før. Dette er forsåvidt en gjentagende trend, siden mange av disse passordene også var tilstede da vi skrev om selskapets 2020-undersøkelse i fjor.
Hvilke passord er det snakk om? Vel, her kan du se alle de 200 vanligste passordene verden over i en lang, lang liste. Under kan du se topp 20 hentet fra den samme listen:
Den norske listen ser for øvrig nokså lik ut, foruten det særnorske «passord» på femteplass:
«123456» er stadig det vanligste passordet
I år som i fjor er det passordet «123456» som er det vanligste passordet verden over, ganske sikkert fordi det er lett å huske og veldig lett å skrive på et vanlig tastatur.
På samme måte er det også ekstremt enkelt å knekke, og viser en av de vanligste «feilene» ved passord man ikke bør bruke: sekvenser. NordPass lister opp mange ulike ting man bør unngå, og taster som følger hverandre på et QWERTY-tastatur er én av dem. Ironisk nok er passordet «qwerty» også ganske populært.
Undersøkelsen peker også på en del passord som kanskje ikke på overflaten virker så enkle å knekke, men som likevel er det fordi de er så vanlige. Eksempler på dette er eksempelvis «Liverpool», som veldig mange fotballfans tilsynelatende bruker (og som er det 15. mest populære, norske passordet også). Amerikanske kvinner virker å være glade i å benytte «iloveyou», mens atter mange later til å bruke eget navn som passord.
Av åpenbare årsaker bør ikke personlige og enkelt søkbare data som navn, alder eller bosted brukes som passord heller – noe NordPass også påpeker.
Dette er selskapets egne tips for å lage et sterkere passord:
- Bruke komplekse passord
- Aldri gjenbruke passord
- Oppdater passordene jevnlig
- Sjekk passordets styrke
- Bruk en passordtjeneste
Det siste tipset bør det påpekes at er sterkt i selskapets egen favør, siden det er nettopp en slik tjeneste de selger. Men et dårlig tips kan det neppe kalles, for passordtjenester og «passordmanagere» kan være en nyttig hjelper hvis du vil ha flere titalls lange og gode passord.
Merk at listen fra Nordpass ikke sier noe om hvor ofte slike dårlige passord dukker opp, og hvor stor andel av alle passord som er såpass dårlige. Dermed kan det tenkes at selv om de dårligste passordene fortsetter å være dårlige, er det færre som bruker dårlige passord enn tidligere. Det sier ikke dataen noe om.
Slik lager du et sterkt passord
Det er også mange og langt mer spesifikke oppskrifter du kan følge for å lage et sterkt passord. Et godt passord består gjerne av minst 12, helst 16 tegn, og det bør være en blanding av store og små bokstaver, tall og symboler.
En tommelfingerregel er gjerne å lage en setning som du enkelt kan huske, og så generere et passord basert på den, og helst en spesifikk variant av setningen for ulike tjenester.
Nettvett.no, som drives av Norsk senter for informasjonssikring (NorSIS). anbefaler at passordfrasen din bør:
- være så lang som mulig, minst 5 ord eller 16 tegn
- være unikt for hver enkelt nettside/brukerkonto
- inneholde både tall, symboler, mellomrom og store/små bokstaver
- helst ikke inkludere ord/tall som kan assosieres med deg eller tjenesten passordet gjelder for.
Samtidig er det også viktig at passordene ikke blir så kompliserte at de blir helt umulige å huske. Hvis du er avhengig av å gå rundt med postitlapper for å huske passordene dine er sannsynligvis ikke sikkerheten noe særlig bedre enn om du har et litt enklere passord.
Et annet alternativ kan være å ta i bruk en såkalt passordmanager. Denne vil lage kompliserte passord for hver av tjenestene dine, og så behøver du kun å huske hovedpassordet til selve passordtjenesten. De fleste av disse tar imidlertid betalt, og heller ikke disse vil være immun mot datainnbrudd.
Du bør naturligvis også aktivere såkalt tofaktorautentisering der det er mulig. Det vil sørge for at tjenesten vil etterspørre en kode som du for eksempel kan få fra en app på mobilen din, enten hver gang du forsøker å logge deg på eller bare når noen forsøker å logge seg på fra en ny enhet.
Dermed kommer man ikke inn om man kun har klart å gjette seg frem til passordet ditt eller passordet er lekket på internett. Gjør man dette trenger man i praksis heller ikke bytte passord med mindre man får beskjed om det fra tjenesten, ifølge NorSIS.
