Hvordan få orden på passordene dine

Med ujevne mellomrom kommer det oppslag i media om ulike nett-tjenester der brukernes passord er på avveie. Sist var det LinkedIn. Blant tjenesteleverandørene som tidligere har opplevd at uvedkommende har skaffet seg adgang til brukerpassord er e-posttjenester som; G-mail, Hotmail og Yahoo, musikktjenesten Spotify, Nettby og diverse andre sider for kontaktsøkende mennesker.

Faksimile VG.

Tidligere i år har norske medier  meldt om passord på avveie fra diverse spillsider (TV2) og YouPorn.com (VG). Noen jakter stadig på andres passord, både tilfeldig og målrettet. Det blir sikkert ikke lenge til neste sak mot tilfeldige brukere blir kjent.

De målrettede angrepene får uvedkommende (folk flest) gjerne ikke vite om. De som utsettes for det ønsker ofte ikke å avsløre hverken om de har mistet kontroll på sensitiv informasjon eller at de har oppdaget  innbryterens metoder og hva de var ute etter.

De enkleste passordene blir gjerne knekt først. Derfor kan det være lurt å ha noen skikkelig vanskelige passord, men det skaper igjen nye problemer … med å huske dem. Her kommer noen triks.

Overlate jobben til andre

Det finnes en rekke tjenester som tilbyr seg å lagre passordene dine for deg, både gratis og mot betaling. Her gjelder å holde tunga rett i munnen, for ikke å si i rett munn. I tilfelle man vil benytte en «password manager» så vurder først troverdigheten til tjenesten og hva du er villig til å risikere. Uansett må du huske ett passord – til denne tjenesten. Med mange egg i samme kurv er det viktig å sikre denne kurven sterkest mulig.

Hoppe over problemet

Hvis man ikke trenger å huske passordet, kan man skrive hva som helst av tegn i en lang nok kombinasjon. Hvis man allikevel har elendig passordhukommelse og benytter tjenester der det er mulig å klikke «glemt passord» for å få tilsendt et nytt, kan det kanskje være like greit for noen? Man trenger da kun å huske enten passordet til e-postkontoen man får nytt passord sendt til, eller huske hvor man har lagt mobiltelefonen dersom nytt passord skal sendes som SMS.

Et minus ved denne metoden kan være at enkelte tjenester er trege med å sende nytt passord. Da finnes det en annen måte å hoppe over problemet på. Den gir deg ikke sikrere passord, og kan til og med utgjøre en risiko for kompromittering, men om man vurderer risikoen for krenket personlig integritet som lavere enn fordelen med å ha orden på visse passord, kan den brukes.

  • Lagre slike passord i en kontaktliste under navn du, men ikke andre, gjenkjenner som nettstedet. På Wimp kunne passordet da ha vært lagret under navnet: Gitar-Geir, der adressen, yrkestittelen eller første ledd i den fiktive e-postadressen er passordet ditt.
  • En variant kan være å lagre passord til slike lite sensitive tjenester i et dokument på enheten, i e-postboksen eller lignende.

Passordet 123456 på LinkedIn er avslørt i denne hashtagen. LeakedIn lar deg prøve ulike passord.

Slik lager du passord som er lette å huske, men vanskelige å knekke.

Det er mye vanskeligere for de fleste å huske en tilfeldig rekke med tall, store og små bokstaver enn å huske en favorittsang, en hyggelig hendelse eller noe man gleder seg til. Rekken JsgmmC23jpFb er bare på 12 tegn, som er maksimalt antall tegn flere tjenester lar deg ha i et passord, men hvor mange slike klarer du å huske? Hvis tegnene danner en mening for deg kan du klare mange.
Hvis setningen «Jeg skal gifte meg med Cathrine 23. juni» betyr noe for deg, bør det være mulig å huske at du skal bruke første bokstav i hvert av ordene «JsgmmC23j». Man må bestemme seg for hvordan man skal bruke store og små bokstaver i slike setninger. Bryllupsdatoen kan du like gjerne pugge uansett. Det vil du få igjen for senere 🙂
Hvis man tviler såpass på egen hukommelse at man ikke tør prøve mer enn en setning, går det an å ha et tillegg på slutten. Her har jeg satt på de tre bokstavene pFb, som kan bety at dette passordet er til bruk på Facebook.

Hvis man skulle bruke samme setning på en annen konto kunne den se slik ut:
På Hotmail: JsgmmC23jpHm.
På Elghundklubben: JsgmmC23jpEk.

Hvorfor bry seg?

Om man spør mange nok finner man alltids noen som ikke ser noe problem i at hverken deres egne passord er på avveie eller at uvedkommende følger med på deres digitale liv: «De har jo ikke noe å skjule»? For all del, man skal ikke tvinge noen til å skaffe seg bedre passord eller ivareta sin digitale integritet. Derfor er det tips om en del dårlige passord litt lenger ned i artikkelen også. Passord som har vært i bruk på LinkedIn inntil de nylig ble publisert som såkalte «hashtags» på en nettside som brukes en del til slikt.

En «hashtag» kan beskrives som en utregning der passordet gjøres om til en kode på 32 bokstaver og tall. Dette skal tjene som identifiseringskode for nettstedet der passordet brukes slik at de slipper å lagre passord i klartekst. Hvis noen for eksempel har brukt passordet «123» blir det til koden «40bd001563085fc35165329ea1ff5c5ecbdbbeef».

De som av en eller annen grunn ønsker å skaffe seg tilgang til en konto der de kjenner «hashtagen» på passordet kan da få maskinen til å sjekke opp slike lekkede hashtager mot lister på tidligere identifiserte passord.

Kanskje ønsker de som driver med slikt bare å få adgang til e-postkontoen din for å bruke den til utsendelse av spam og få tak i stadig flere bekreftet aktive e-postadresser å selge videre til andre spammere? Kanskje er de ute etter identitetstyveri eller å bruke e-posten eller Facebook-kontoen til å svindle andre.

Hvordan ville kontaktene dine ha reagert dersom de fikk en melding om at du satt fast på flyplassen i Bangkok og måtte betale en avgift (for eksempel tilsvarende 300 kroner) til et oppgitt kontonummer for å komme deg på flyet? En som har tilgang til e-postkontoen kan ha tilgang til reisedetaljer også. Hver av dine hjelpsomme venner som blir lurt vil gi en pen gevinst for svindleren som kan sitte i Nigeria, Brasil, Ukraina  … eller ved siden av deg på toget og se passordene på tjenestene du har logget deg inn til på usikret (eller passordknekket) trådløsnett.

Mange vil kanskje ikke gidde å varsle politiet en gang om noe slikt hvis redselen for å bli konfrontert med sin egen naivitet, eller troen på henleggelse, uansett er høyere enn savnet av de få kronene.

Økonomiske motiver er kanskje det som rammer de fleste, men det er tross alt bare penger. Enkelte vil en eller annen gang også oppleve at uvedkommende tar seg inn i deres passordbeskyttede kontoer av mer personlige grunner: Hevn, sjalusi, posisjonering i en arvestrid, barnefordeling, … eller kanskje for å finne sensitivt materiale som tilhører arbeidsgiver, et utvalg man jobber med eller lignende. De som har noe å beskytte vil nok skjønne det.

 Her er noen dårlige passord

De som bare trenger et enkelt passord kan velge og vrake i følgende passord som blir ledige på LeakedIn nå, men som var i bruk av noen inntil hashtagene ble publisert på nettet av noen som har skaffet seg uautorisert adgang til dem.

Passordet stortinget er avslørt her.

Den som brukte passordet stortinget må finne et nytt et nå. Stortinget (med stor S) var i alle fall ikke blant de avslørte hvis du trenger tips.

Av de andre avslørte passordene på LinkedIn nylig nevnes: mandag, tirsdag, onsdag, torsdag og fredag. Ingen hadde tenkt på å skrive ukedagene med stor bokstav, så det får være et tips om nesten like dårlige passord for de som vil ha det.

Fredagspils var ikke blant de avslørte passordene.

Blant de avslørte passordene var pilspils, men fredagspils var ikke blant dem, så tipset er formidlet til de som måtte føle behovet.

Derimot var alle følgende ord i bruk som passord, inntil de altså ble avslørt, slik at brukerne nå må endre fra: Passord, password, Linkedin, Gunnar, 123456, hestkuk, aftenposten, Dagbladet, 17.mai, pupper, KingKong, Netcom, hemmelig, cocacola, Hansen, Jensen, Elizabeth, Bjarne, Ludvig og det ikke lenger helt originale qwerty, selv med stor bokstav først.

Passordet øløløl er blant de lekkede passordene, men var ikke knekket ennå da dette innlegget ble publisert.

De som jobber med å knekke disse passordene sliter ofte med de særnorske bokstavene som æ,ø og å. Det kan være et tips for deg som ikke synes det er veldig viktig å gjøre det enkelt for passordtyver å stjele dine passord.

Passordet øløløløl var et av de stjålne som ikke var cracket ennå da dette innlegget ble publisert, men det var i tilfelle kun et spørsmål om kort tid før de fikk kjørt gjennom ulike tegnsett.

Lykke til med nytt passord.

Bloggurat

Blogglisten

Mer:

Strafferammen for datainnbrudd er seks måneder fengsel, men inntil to år hvis det er i vinnings hensikt.  Mer om datainnbrudd.

Mer om emnet informasjonssikkerhet kan du finne hos Norsk senter for informasjonssikring (NorSIS).

LeakedIn.org og Lastpass.com kan du teste om passord er blant de lekkede fra LinkedIn.

 

Annonse:

Slettmeg.no, et bomskudd

Oppdatert 13. oktober 2011: Denne kommentaren om slettmeg.no ble skrevet da tjenesten var i startfasen i mars 2010.

Tjenesten la etter en tid opp til nettopp mer omfattende «hjelp til selvhjelp, og selvbetjening ved bruk av skjemaer og automatisert behandling, slik jeg påviste mulig behov for.

Min kritiske innvending må derfor betraktes som tidsavgrenset og jeg står selvfølgelig ikke for det samme syn med en endret tjeneste.

Alt i alt må jeg gi Datatilsynet og slettmeg.no ros for meget godt arbeid.

– – –

Oppdatert 14. april 2010: TV 2: (Oppsummering av sakene den første måneden. Facebook er en versting.)

– – –

8. mars 2010: Jeg vil gi Datatilsynet ros for å ha fulgt opp Personvernkommisjonens rapport ved å etablere denne tjenesten.

Dette er et godt eksempel på grunnleggende personvernoppdragelse i en digital verden. Allikevel har jeg mine tvil om tjenesten etter en tid vil innfri brukernes forventninger og (stadig nye) behov.

Informasjon om lover, rettigheter og praksis innen personvern, åndsverkbeskyttelse og ytringsfrihet er selvfølgelig alltid bra å formidle. Her er intet nytt. De som selv er i stand til å ta vare på sine interesser og rettigheter har bare fått enda en mulighet til å gjøre dette. Det eneste nye er at det er samlet på et sted og lettere å navigere ut fra.

Hjelp til selvhjelp er en krevende øvelse, og er hovedfokuset for nettsiden slettmeg.no. Dersom for mange tar kontakt med de to ansatte for å få praktisk hjelp, vil ressursene ikke strekke til for å hjelpe alle.

  • Hvor mange er for mange? Vanskelig å si kanskje, fordi saker kan ha ulik arbeidsbyrde, men jeg vil gjette at et lavt tosifret antall henvendelser om praktisk hjelp pr arbeidsdag er i nærheten av maksimal produksjon. Hvis det skulle bli slik er nettsiden langt på vei et bomskudd, men ikke unyttig. Det nyttige ligger i muligheten til å bedrive målrettet folkeopplysning.

Selve navnet «slettmeg.no» kan lede tankene i retning av en enkel tjeneste der det bare er å trykke på en knapp så er problemene løst. En «personvernets digitale Delete-knapp«. (Eller noe lignende med denne porno-slette-minnepinnen.)

Man må gjerne håpe at de aller fleste som besøker siden for å få hjelp leser informasjon tilsvarende nærmere et halvt års jusstudier for å sette seg i stand til å gjøre jobben selv. Håp gjerne, men ikke regn med det.

Etterhvert blir det kanskje flere konkrete trinn-for-trinn-beskrivelser og maler for oppsett av henvendelser som kan underbygge fokuset på å være hjelp til selvhjelp?

Tjenestens mer praktiske hjelp kan havarere på grunn av ressursmangel etter en stund. Å oppdra flere generasjoner til å kunne ivareta sine personvernrettigheter i en digital verden tar tid og krever mer ressurser enn en nettside og to årsverk i en prøveperiode på to år.

For skoleelever burde mye informasjon fra slettmeg.no vært kjernen i det som i læreplaner kalles «digital kompetanse». Før man kommer dit må imidlertid de som lager læreplanene, og de som skal følge dem, forstå hvorfor personvern og digitale rettigheter er viktig. Kall det gjerne «digital dannelse» som er mye viktigere enn å lære å bruke tekstebehandlingsprogram.

Å etablere holdninger krever tid, oppfølging og rettledning til refleksjon. Å lære å bruke et tekstbehandlingsprogram er gjort på få  timer, og selv et barn uten etisk ballast kan lære et annet barn å gjøre det.

Og når vi nevner holdninger er vi snart også raskt inne på begrepet respekt. Mer i innlegget: En oppskrift på bedre skole.

Når det gjelder voksenopplæring av alle nettbrukere som er ferdige med grunnskolen uten å ha «digital dannelse» så kan slettmeg.no ha liten nytte eller bli overkjørt av etablert og synlig praksis i deler av media og offentlig forvaltning.

Hvordan skal en nettside kunne oppdra vanlige nettbrukere til å respektere andres personvern og rettigheter når media de påvirkes av daglig ikke gjør det? (Mer: En identifisert. Noe grafsing gjenstår.)

Hvorfor skal privatpersoner hindre ulovlig spredning av informasjon om andre når til og med enkelte politifolk av og til kan ha anonyme og ulovlige lekkasjer til media som arbeidsmetode? (Mer om problemet i innlegget: Ikke tilliten verdig.)

Hvordan skal offentlig ansatte med tilgang til personvernbeskyttet informasjon, som har fått lov til å legge ut ukontrollert informasjon som digital underholdning i arbeidstiden, plutselig få «digital dannelse» av en nettside? (Mer: Flere vil rammes av pleieres Facebook-avhengighet.)

Den vanlige nettbruker vil ikke komme til å gjøre som forvaltningen (Datatilsynet) sier på slettmeg.no. Den vanlige nettbruker vil gjøre som forvaltningen gjør.

Dersom Forbruker- og Administrasjonsdepartementet og Datatilsynet brukte to årsverk på å plukke unoter og lovbrudd innen personvern bort fra ansatte innen offentlig forvaltning, og gi dem «digital dannelse» i sitt daglige arbeid, ville de ansatte ta med seg denne kompetansen også inn i sosiale medier og sin vanlige nettbruk.

Da kunne man raskt ha hundre tusen offentlige nettbrukere med kompetanse om personvern og rettigheter på nett til å rettlede ukyndige gratis i fritiden. Eventuelt når de i arbeidstiden allikevel surfer på nettet.

 

Mest lest på Norske forhold siste tre dager, pr 6. mars.

  1. Ikke avskrekkende nok.
  2. Falsk trygghet.
  3. Flere vil rammes av pleieres Facebook-avhengighet.
  4. Politi og GPS-sporing.
  5. Dårlig grasrotfølelse.


Bloggurat

Blogglisten

Twingly BlogRank

Fant tilfeldigvis denne bloggen på blogglisten.no. Ida M. Johnsen, om å «Slenge dritt på nett«. Litt på siden av personvernet, men absolutt en del av digital dannelse.

Dine personopplysninger kan bli registrert på mange slags tjenester uten at Datatilsynet kan hjelpe deg. VG: Ny tjeneste sirkler inn Chatroulette-brukere.

Et eksempel som kanskje viser behovet for en annen digital kompetanse eller digital dannelse i skolen, samt angår respekt. TV 2: Utvist etter lærermobbing på Facebook.

 

En dyr pupp

Denne puppen endret amerikansk TV.

Utsnitt fra VG.

Etter at Janet Jackson blottet en smykkepyntet pupp på direktesendt TV i 2004, har det versert anklager, søksmål og bøter. Puppen har nådd helt opp til toppen i amerikansk politikk og vært behandlet i Kongressen. Ja, altså TV-sendingen.

At puppen var pyntet med et smykke styrket mistanker om at «stuntet» var planlagt. Det har vært hevdet at CBS visste om «stuntet», men det kan være dyrt å både innrømme og å hevde noe slikt. De viste den i alle fall under selveste Super Bowl, en unik TV-begivenhet.

TV-selskapet som viste puppen på direktesendt TV fikk over tre millioner norske kroner i bot. Kringkastingsreglene er blitt strengere og en konsekvens er at svært få TV-sendinger nå går direkte på lufta i USA. En forsinkelsessløyfe på fem til sju sekunder kan være lagt til på direktesendinger, slik at man kan gå over i reklame eller sette over til et annet kamera dersom noe forferdelig skulle skje. For eksempel noe så forferdelig som å vise en nesten naken pupp. Et sted går grensen for kringkastings- og ytringsfrihet mot moral og krenkelse av andres bluferdighet.

Det har ikke vært reagert like strengt mot voldsinnslag som Jacksons pupp. På amerikansk TV er det i gjennomsnitt fem voldshandlinger pr time sending i «prime time» (Munkejord, 2003).

En metaanalyse av over 1000 rapporter viser en klar sammenheng mellom
medievold og aggressiv atferd hos barn (Bushman & Anderson, 2001).

Man skulle tro barn og ungdom har digital kompetanse til å finne bilde av en nesten naken pupp, eller mer, om de måtte ønske det, men på direktesendt (amerikansk) TV skal de spares for det aller verste.

 

Mest lest på Norske forhold siste to dager, pr 8. februar.

(Dette ville tatt andreplassen.)

1. Strengere straffer.

2. Krekar – Norge 5-0

3. ...Dog fred er ei det beste.

4. Korrupt politi.

5. Råd til å miste.


Bloggurat

Blogglisten

Twingly BlogRank

TV 2: Nå skal puppeboten etterforskes igjen.

VG: CBS kjemper mot Super Bowl-pupp.

VG: Super Bowl ga TV-rekord. TV 2: Saints vant Super Bowl. VG: Ellevill feiring i New Orleans. VG: Nordmenn på Super Bowl. TV 2: Klart for «episk» Super Bowl-duell. TV 2: Snøvær ga strømstans før Super Bowl. DN: Från Katrina til Super Bowl.