Slik lager du sikre passord du alltid husker

4 november 2013

Kravet om unike passord møter oss over alt. Kravene til passord er typisk at passordet skal:

– være en blanding av tall og bokstaver
– være en blanding av STORE og små bokstaver
– være minst 8 tegn

Det er også et godt sikkerhetstips å bruke ulike passord på ulike nettsteder. Dette siste er kanskje det vanskeligste. Hvordan klare å lage så mange forskjellige passord (siste jeg sjekket var det over 30 nettsteder jeg måtte huske passord til), og ikke minst – hvordan huske hvilket passord som hører til hvilket sted?

Skjermbilde 2013-11-04 kl. 22.30.01

Løsningen på dette er å lage sammensatte passord som består av en stamme som er like for alle passordene og et vedheng (suffix) som er unikt for hvert enkelt nettsted.

Stammen

Stammen lager du ved å ta første bokstaven i hvert ord fra en setning som inneholder særnamn og et årstall. Setningen bør være sann – det børe være noe som stemmer, og som du lett husker. Årstallet kan du godt splitte opp og putte noen tall før bokstavene og noen tall etter.

Skjermbilde 2013-11-04 kl. 22.38.19

Sånn! Der har vi en stamme hackere ikke finner i noen ordbok, men som samtidig er lett å huske.

Suffixet – vedhenget

Vedhenget skal være unikt for hvert nettsted du besøker. Lag en regel du bruker rimelig konsekvent, og som gjør at du auomatisk husker vedhenget i passordet når du kommer til et nettsted der det er lenge siden du har vært.

Du kan bruke første stavelsen i nettstedet, f.eks. «face» for Facebook, eller konsekvent første tre bokstavene i navnet på nettstedet. Hvis vi tenker oss at du bruke første tre bokstavene, vil du ha en liste over vedheng/suffix som ser slik ut:

Facebook: fac
Telenor, kundesider: tel
Epost: epo
LinkedIn: lin

Når vi så kobler vedhenget på stammen, blir passordene for denne listen slik:

Facebook: 19jftVi98fac
Telenor, kundesider: 19jftVi98tel
Epost: 19jftVi98epo
LinkedIn: 19jftVi98lin

Smart, ikke sant? Du har nå laget mange svært kompliserte passord som er lett å huske.

Hva med bytte av passord?

Fra tid til annen får vi beskjed om å bytte passord på nettsteder som har vært utsatt for hacking. Jeg har fått slike beskjeder både fra LinkedIn og Evernote. Vel, da må du nesten lage en ny stamme og ideelt sett bør du så skifte ut stammen alle steder. I slike tilfeller vil du ha glede av å ha en oversikt over alle nettstedene du har passord til, slik at du systematisk kan gå inn og skifte til passord med ny stamme. Denne oversikten er jo bare en enkel liste over nettsteder og har sånn sett ikke spesiell sensitiv informasjon. Derfor kan det være lurt å lagre den tilgjengelig, f.eks. i et Evernote-dokument.

(Har tidligere skrevet om passord i bloggen her)

  • Lise Kjølstad

    Tusen takk!!!

  • Pingback: Innbokskontroll – Passordkontroll – i vår digitaliserte verden()

    • Jørn Kippersund

      Takk for tilbakemelding! Ja, dette systemet er svært enkelt. Som å lære seg å sykle er en god metafor.

      Det med nye passord til samme tjenester _er_ en utfordring, f.eks. systemer som krever passordskifte hver 3.måned. Jeg vet ikke hvor begeistret sikkerhetsekspertene er for min metode der, men der bruker jeg å hekte på et tallbasert suffix etter det siste suffixet. Dette tallet øker så med 1 for hver gang jeg må skifte passord.

  • Hva tenker du om løsninger som den nye Keychain til Apple, LastPass og 1Password – løsninger der du bare trenger å huske et avansert hovedpassord, og hvor programmene tar seg av resten?

    • Jørn Kippersund

      Takk for kommentar med det som nok er nyttige tips for mange! Jeg kjenner til disse verktøyene, men har ikke selv tatt dem i bruk. Grunnen til at jeg ikke har tatt dem i bruk er at jeg innbiller meg at de ikke dekker alle situasjoner. Hva skjer om man skal logge seg på en dings man ikke har logget seg på tidligere f.eks.? Må man ikke da installere en liten programsnutt, evt. gå via en ekstern nettside? Jeg er stadig vekk i slike situasjoner. Hvis jeg da til vanlig aldri behøver å huske mer enn ett passord, vil det bli enda vanskeligere å huske det passordet jeg plutselig trenger.

      Mange bruker PC’er på tvers av en stor organisasjon, f.eks. sykehusansatte. Det gir mindre rom for personlige tilpasninger og kravet om å huske passordet selv står dermed ved lag.

  • John Askildt

    Bruker selv keepass http://keepass.info/ og Lastpass https://lastpass.com/ – begge anbefales!

    Keepass kan du ha på en USB stick om du vil, Du bruker allerede kalkulator for nettbank, så heng den sammen med den. Eller på noe som du har med deg på jobb hver dag!

    Fra Keepass sine sider: The portable version can be carried around on portable devices (like USB sticks) and runs on any computer directly from the device, without any installation. It doesn’t store anything on your system (in contrast to the setup package, see above). KeePass doesn’t create any new registry keys and it doesn’t create any configuration files in your Windows or application data directory of your user profile.

    • Jørn Kippersund

      Takk for kommentar! Disse løsningene er nok bra for mange. Hvordan fungerer de opp mot f.eks. nettbrett og smarttelefoner?

      Jeg er også skeptisk til en ny «dings». Kodebrikken til nettbanken er jeg f.eks. ikke spesielt glad i, til gjengjeld er jeg svært begeistret for BankID for mobil.

      • Einar

        Bruce Schneier sin Password Safe kan anbefales. Det finnes klienter for de aller fleste OS og mobiltelefoner, og det er mulig med synkronisert deling av passordlista mellom enhetene via f.eks. Dropbox. http://passwordsafe.sourceforge.net/

        • Jørn Kippersund

          Hvordan fungerer denne Password Safe hvis du låner et nettbrett/laptop, eller hvis du stjeler deg 10 minutter på en internet-café i utlandet f.eks.? Og hva skjer om Password Safe i seg selv blir hacket?

          • Einar

            Passorddatabasen er lokalt lagret (eller i din Dropbox-katalog/annen sky), så du trenger ikke bekymre deg for hacking av en sentral server. Dersom uvedkommende skulle få tak i fila, f.eks. ved å hacke seg inn på Dropbox eller din PC, er fila kryptert med et master-passord som må skrives inn i klienten for å få lese eller editere passordene.

            Fra du leser et passord tar det bare få minutter (konfigurerbart – kan også skje umiddelbart ved minimering av klienten) til passorddatabasen låses. En person som får tilgang til din PC eller mobil må derfor vite master-passordet for å få noe ut av den.

            Bruce Schneier regnes forøvrig som en av de største autoritetene når det gjelder kryptering, så dersom man først skal stole på et passordhåndteringssystem er det nok ikke feil sted å gå 🙂

  • Denne metoden er en metode jeg selv har brukt i flere år. Trodde jeg kom på den selv, men men. Hehe. Eneste som er annerledes er at jeg begynner passordet med suffixet. Og suffixet er ganske annerledes, enn forslagene her.

    • Jørn Kippersund

      Om man kjører prefix eller suffix går jo ut på ett 🙂 Hvordan man lager prefixet også – det viktige er jo å ha metode som er gjennomgående, slik at du kan hente den fram også når du skal logge deg på et sted du besøker sjelden.

  • Einar

    Et forslag til forbedring er å fordele suffixet utover stammen. På det viset blir det ikke like åpenbart hvordan systemet fungerer dersom passordet blir hacket på et nettsted.

    Eksempel: Gitt at en hacker finner passordet ditt på Facebook:
    19jftVi98fac <- her skjønner hackeren fort at han kan prøve 'lin' som suffix på linkedin osv. Du bør derfor bytte passord på alle nettsidene som benytter samme system.
    19fjftaVi98c <- her skal det en del mer til å se mønsteret. Linkedin-passordet på samme mønster ville vært 19ljftiVi98n.

    Dersom man i tillegg ikke bare bruker de tre første bokstavene i rekkefølge, men f.eks. reverserer rekkefølgen, benytter første, andre og siste bokstav eller tilsvarende, så begynner det virkelig å hjelpe, samtidig som det er like enkelt å huske.

    • Jørn Kippersund

      Takk for konstruktiv kommentar Einar! Flere har påpekt det du påpeker – at et suffix-system som er lett lesbart, svekker sikkerheten. Jeg kan jo selv røpe at jeg ikke benytter suffix-systemet som beskrevet – det er kun ment som et eksempel. Dine måter å organiere suffixet på er veldig gode modeller som helt klart bidrar til å øke sikkerheten til passordene.

  • Takk for glitrande praktisk og patent ide. Det er jo ikkje berre viktig med innbokskontroll, men også passordorden, – men kva når det blir kravd at du skal skifte passord, eit krav som skaper mistanke om at det er den andre parten som er komen på gyngande grunn.?

    • Tenker du på system som krever passordskifte f.eks. hver 3.måned, eller tenker du på system der man etter innbruddsforsøk sentralt får anbefaling om skifte passord? Både LinkedIn og Evernote har hatt slike episoder der de har gått ut og anbefalt brukerne sine å skifte passord.

      I det siste tilfellet så anbefaler jeg å lage en ny stamme, og så skifte til ny stamme på samtlige passord. Nettopp derfor kan det være lurte å føre en oversikt over alle stedene man har passord.

      Hvis man er pålogget systemer som krever passordskifte f.eks. hver 3.måned, så plasserer jeg et tall i passordet, og teller så sakte oppover ved å forandre tallet hver gang det blir krav om at jeg bytter passord

  • Jeg likte særlig disse to setningene:

    «Denne oversikten er jo bare en enkel liste over nettsteder og har sånn sett ikke spesiell sensitiv informasjon. Derfor kan det være lurt å lagre den tilgjengelig, f.eks. i et Evernote-dokument.»

  • Eivind Lied

    Helt genialt!

Bestill foredrag!
Lær innbokskontroll!