Opplysningskontoret.com - Hvordan lage et sikkert passord?

Hvordan lage et sikkert passord?

De fleste har hørt om passord som «passord123», «123456» eller «qwerty». Det finnes også andre varianter som «abc123», «111111» og «iloveyou». Disse er ekstremt vanlige, ikke bare i Norge, men over hele verden.

Problemet er at slike passord ofte er de første som testes av eventuelle angripere. Har man et så enkelt passord, er det nesten som å la døra til huset stå ulåst. En datamaskin trenger bare noen sekunder for å forsøke alle slike populære varianter, og da er kontoen din plutselig åpen for uvedkommende.

Mange bruker likevel slike enkle passord fordi det er lett å huske, eller de tror at «ingen kommer til å bry seg om min konto». Dette er ikke lurt, da kjeltringer oftest ikke angriper deg personlig, men heller tar en «spredt» tilnærming. De setter opp systemer som leter bredt etter kontorer med nettopp slike standardpassord, og da er veien kort til misbruk av enten privat informasjon eller bedriftsopplysninger.

Brute force – hva betyr det?

Brute force er en metode hackere og dataprogrammer bruker for å gjette passord, ved å systematisk teste alle mulige kombinasjoner av tegn. Hensikten er å kjøre gjennom så mange varianter som mulig i rask rekkefølge. Hvis du for eksempel bruker et passord som bare er fem tegn langt, kan en datamaskin teste bokstavene A til Z, tall og spesialtegn i løpet av svært kort tid. Jo kortere og enklere passordet er, desto enklere er det for et brute force-program å treffe blink.

Det er viktig å være klar over at det finnes egne lister over de mest brukte passordene i verden, og disse testes alltid først. Brute force-verktøy begynner ofte med slike vanlige passord før de går over til mer omfattende forsøk. Kombinerer du enkle ord med tall i rekkefølge (som «sommer2023» eller «passord123»), er det som regel noe et angripende program vil prøve i løpet av de første sekundene. Derfor er det nødvendig å vite hva et godt passord bør bestå av.

Forskjellige passord på alle enheter og kontoer

Mange velger å bruke samme passord på alle tjenester de benytter, fordi det er enkelt å huske. Men dette er et risikabelt valg. Dersom en konto blir kompromittert, vil angriperen ofte teste samme passord på andre kontoer for å se om det fungerer der også. Og hvis du da har brukt samme passord overalt, står alle dine tjenester plutselig åpne. E-posten din, nettbanken din, sosiale medier, og alt annet du har på nettet, kan være i fare.

Har du forskjellige passord på hver eneste tjeneste, må en angriper hacke hvert enkelt passord hver for seg. Det gjør jobben deres mye vanskeligere og minsker risikoen betydelig. I tillegg kan det begrense skaden om en av kontoene dine faktisk blir hacket. Du slipper da å måtte endre passord på alt mulig annet, og du forhindrer at uvedkommende får ubegrenset tilgang til hele livet ditt på nettet.

Hvordan lage et godt passord?

Et godt passord bør være langt, komplekst og vanskelig å gjette. Lengden er særlig viktig, da hver ekstra tegnposisjon dramatisk øker antall mulige kombinasjoner. Mange sikkerhetseksperter anbefaler minimum tolv tegn, men 14-16 tegn eller mer er enda sikrere. Et sterkt passord bør inneholde en blanding av store og små bokstaver, tall og spesialtegn. Slike spesialtegn kan være @, #, $, %, &, * eller lignende.

Bruk også gjerne en liten huskeregel: Du kan ta en setning du synes er enkel å memorere, for eksempel «Jeg drikker kaffe hver morgen klokken 0730!», og ta første bokstav i hvert ord. Du kan også bytte ut noen av bokstavene med tall eller symboler. På den måten får du et passord som virker tilfeldig, men som du likevel husker med litt trening. Hovedpoenget er å unngå mønstre som forutsigbart kommer fra ordbøker eller vanlige fraser.

Passphrase – når setningen blir passordet

I stedet for å bruke kompliserte symboler og tall i hytt og pine, kan man velge en såkalt «passphrase». Det er i praksis en setning eller en frase som er lengre enn et vanlig passord. Tenk deg for eksempel «SolenSkinnerPåFjelletIDag». Den er ganske lang, men for deg er den lett å huske. For en datamaskin som prøver brute force, derimot, blir antall kombinasjoner enormt mye høyere når passordet har mange tegn.

Passphrases kan også krydres med litt variasjon. Du kan legge til noen spesialtegn eller tall for å øke kompleksiteten ytterligere. For eksempel: «SolenSkinnerPåFjelletIDag2023!». Da er passordet både langt og komplekst. Med en passphrase unngår du ofte vanskeligheten med å huske tilfeldig genererte passord, samtidig som du gjør det svært vanskelig for maskiner å gjette seg frem til koden. Dette er en fin balanse mellom sikkerhet og brukervennlighet.

Sikkerhetskultur og gode vaner

Sikkerhet begynner ikke kun med passordet ditt, men også med vanene du opprettholder når du er på nett. Passordhygiene handler om å ha oversikt over hvor du bruker passordene dine, å endre dem jevnlig og ikke dele dem med noen. Dersom en venn, kollega eller familiemedlem må bruke kontoen din, kan det være bedre å opprette en gjestekonto eller en midlertidig tilgang. Det kan være fristende å sende passordet på en e-post eller via en melding, men det bør unngås med mindre kanalen er kryptert og du virkelig stoler på den du deler med.

Et viktig element i sikkerhetskulturen er også å holde øye med svindelforsøk. Hvis du mottar en e-post som ser mistenkelig ut, eller får en melding om at «passordet ditt er utløpt og du må trykke her for å oppdatere», bør du alltid dobbeltsjekke avsender og lenke. Kjeltringer vil ofte prøve å lure deg til å gi fra deg passordene dine frivillig gjennom såkalte phishing-kampanjer. På den måten trenger de verken brute force eller teknisk snedighet for å få tak i passordet ditt.

Bruk av passordadministrator

Et annet smart tips er å benytte en passordadministrator, også kjent som en passordmanager. Dette er programmer eller nettjenester som lagrer og krypterer passordene dine, slik at du slipper å huske alle. Du trenger da bare å huske ett hovedpassord for å få tilgang til alle de andre. Eksempler på slike tjenester er 1Password, LastPass, Bitwarden og KeePass. Passordadministratorer genererer også unike og lange passord for deg, som du ikke engang trenger å se eller lære deg utenat.

Velger du en passordadministrator, blir det enkelt å ha et eget, langt passord for hver konto. Du unngår å skrive ned passordene i notatbøker eller på klistrelapper, og du reduserer sjansen for å bruke samme passord flere steder. Mange av disse tjenestene gir også beskjed om passordene dine blir avslørt i et datalekkasjer, slik at du i så fall kan endre dem umiddelbart.

Tostegsbekreftelse og andre sikkerhetstiltak

I tillegg til sterke passord og passordadministratorer, er det lurt å skru på tostegsbekreftelse (også kalt to-faktor-autentisering) overalt hvor det er mulig. Dette legger til et ekstra lag med sikkerhet ved at du for eksempel får en SMS med en kode, eller må bekrefte innlogging via en autentiseringsapp. Selv om en angriper skulle få tak i passordet ditt, er det vanskeligere for dem å passere den ekstra bekreftelsen.

Det kan være nyttig å tenke over hvor du logger inn, og hvilken informasjon du oppgir. Er du på en offentlig PC eller på usikrede Wi-Fi-nett, bør du være spesielt påpasselig. Husk at eventuelle uvedkommende kan overvåke trafikken, og dermed potensielt fange opp brukernavn og passord hvis forbindelsen ikke er kryptert. Bruker du i tillegg verktøy som VPN, gjør du det vanskeligere for andre å snappe opp data.

Når passord likevel blir lekket

Skulle uhellet være ute, og du får vite at et passord er på avveie, er det viktig å handle raskt. Endre passordet umiddelbart på den aktuelle kontoen, og sørg for at du ikke bruker den samme kombinasjonen på andre tjenester. Dette er nettopp grunnen til at forskjellige passord er så viktig. Om passordet ditt lekkes fra én nettside, er det mindre fare for at angripere skal kunne logge inn på e-posten din, nettbanken eller andre steder.

En annen konsekvens av slike lekkasjer er muligheten for identitetstyveri. Angripere som har tilgang til kontoinformasjon, kan utgi seg for å være deg. De kan da handle varer i ditt navn, sende e-poster eller meldinger fra din konto, og i verste fall få tilgang til mer sensitiv informasjon som lagres i skyen. Dette understreker behovet for å tenke gjennom passordsikkerheten og å ta grep før noe skjer.

Alt starter med et sterkt passord. Deretter øker du sikkerheten ytterligere ved å aktivere tostegsbekreftelse, oppdatere enheter jevnlig og være kritisk til hva du klikker på. Ved å investere tid i å skape gode passordrutiner nå, sparer du deg for bekymringer og potensielle skader senere. Enkelte tenker at «det skjer ikke meg», men de store datalekkasjene og phishing-forsøkene viser at mange blir rammet hver dag.

Det finnes også tjenester på nett hvor du kan sjekke om e-postadressen din har vært involvert i kjente datalekkasjer. Disse nettportalene, som for eksempel “Have I Been Pwned?”, vil fortelle deg om kombinasjonen av brukernavn og passord er blitt publisert på mørke markeder eller andre nettsteder. Tar du passordsikkerheten på alvor, sørger du for at selv om e-postadressen din er på avveie, er passordet ditt likevel sterkt nok til å forhindre misbruk.

Målet er ikke å gjøre passordet ditt så komplisert at du aldri husker det, men heller å finne en mellomting som gir sikkerhet og praktisk bruk. For mange er en lang passphrase den beste løsningen, eventuelt supplert med en passordadministrator. Legg til variasjon med tall, store og små bokstaver og et par spesialtegn, så reduserer du sjansen for å bli offer for brute force-angrep. La aldri passordet ditt bli et svakt ledd i sikkerhetskjeden, og sørg for at du selv har kontroll på alt som skjer i din digitale hverdag.