Passordkontroll – i vår digitaliserte verden

(4/11-2013: Anbefaler oppdatert bloggpost om passord)

Vi møter på ønsker om passord hvor vi enn snur og vender oss. Hvordan balansere kravet til sikkerhet mot kravet til funksjonalitet? Hvordan velger vi passord som er sterke nok, som vi kan huske og som tilfredsstiller de bisarre kravene som av og til blir stilt til passord? Skal vi ha et nytt passord for hvert sted vi trenger passord, eller skal vi bruke det samme overalt? Hvor ofte skal vi skifte?

Jeg har laget meg selv noen svært enkle regler, som jeg likevel mener er gode nok. Vi snakker nå om mine passord på internett i alle størrelser og fasonger, og ikke om min jobb i forhold til pasientjournaler etc. Der har jeg andre system som jeg ikke røper her.

Typiske passordregler er:

– minimum 8 karakterer
– blanding av tall og bokstaver
– blanding av store og små bokstaver

Glem gamle passordtips som «favorittkjæledyret ditt som barn», «favorittrødvinen» el.l. Disse blir sjelden gode nok, og du må kanskje modifisere de til litt bisarre ord. Setninger er lettere å huske enn bisarre bokstavsammensetninger i seg selv. Lag en setning som inneholder

– tall
– særnavn
– en viss logikk

Eksempel: kua heter Smyril og har 4 spener og 2 horn

Ved å ta første bokstaven i hvert ord samt tallene, gir dette følgende passord: khSoh4so2h

Legg merke til den store «S». Google gir dette toppkarakter i passordstyrke. Et annet eksempel: jeg begynte på ungdomsskolen i 1985 og hadde en lærer som het Olsen. Dette gir et enda sterkere passord: jbpui1985ohelshO

Man trenger sjelden å være redd for å bruke for mange bokstaver i passordet. Eksemplene viser hvordan man lett kan huske svært kompliserte passord – vel og merke hvis man får lage dem selv.

Med et så «ugjettbart» passord som dette tror jeg man er tjent med å kjøre det samme passordet de uviktige stedene man er involvert på internett – for funksjonaliteten skyld. Med «ufarlige steder» mener jeg type nettbutikker eller disksujonsforum. Altså steder der du kan leve med et datainnbrudd. Så bør man heller fra tid til annen (hvert halvår?) skifte ut passordet-setningen til en ny og fase det nye passordet inn over det hele. På de viktige stedene (din egen nettsky som f.eks. google documents eller dropbox, nettbank, e-post) bør du ha egne passord. Ufarlige steder lar seg lettere hacke, og hackerne vet at mange bruker det samme passordet overalt og kan da bruke infoen fra et uviktig nettsted til å komme seg inn på et viktig nettsted.

(oppdatert 1.februar 2012)