Med ujevne mellomrom kommer det oppslag i media om ulike nett-tjenester der brukernes passord er på avveie. Sist var det LinkedIn. Blant tjenesteleverandørene som tidligere har opplevd at uvedkommende har skaffet seg adgang til brukerpassord er e-posttjenester som; G-mail, Hotmail og Yahoo, musikktjenesten Spotify, Nettby og diverse andre sider for kontaktsøkende mennesker.
Tidligere i år har norske medier meldt om passord på avveie fra diverse spillsider (TV2) og YouPorn.com (VG). Noen jakter stadig på andres passord, både tilfeldig og målrettet. Det blir sikkert ikke lenge til neste sak mot tilfeldige brukere blir kjent.
De målrettede angrepene får uvedkommende (folk flest) gjerne ikke vite om. De som utsettes for det ønsker ofte ikke å avsløre hverken om de har mistet kontroll på sensitiv informasjon eller at de har oppdaget innbryterens metoder og hva de var ute etter.
- Informasjonstyveri er butikk. Mer om det her.
De enkleste passordene blir gjerne knekt først. Derfor kan det være lurt å ha noen skikkelig vanskelige passord, men det skaper igjen nye problemer … med å huske dem. Her kommer noen triks.
Overlate jobben til andre
Det finnes en rekke tjenester som tilbyr seg å lagre passordene dine for deg, både gratis og mot betaling. Her gjelder å holde tunga rett i munnen, for ikke å si i rett munn. I tilfelle man vil benytte en «password manager» så vurder først troverdigheten til tjenesten og hva du er villig til å risikere. Uansett må du huske ett passord – til denne tjenesten. Med mange egg i samme kurv er det viktig å sikre denne kurven sterkest mulig.
Hoppe over problemet
Hvis man ikke trenger å huske passordet, kan man skrive hva som helst av tegn i en lang nok kombinasjon. Hvis man allikevel har elendig passordhukommelse og benytter tjenester der det er mulig å klikke «glemt passord» for å få tilsendt et nytt, kan det kanskje være like greit for noen? Man trenger da kun å huske enten passordet til e-postkontoen man får nytt passord sendt til, eller huske hvor man har lagt mobiltelefonen dersom nytt passord skal sendes som SMS.
Et minus ved denne metoden kan være at enkelte tjenester er trege med å sende nytt passord. Da finnes det en annen måte å hoppe over problemet på. Den gir deg ikke sikrere passord, og kan til og med utgjøre en risiko for kompromittering, men om man vurderer risikoen for krenket personlig integritet som lavere enn fordelen med å ha orden på visse passord, kan den brukes.
- Lagre slike passord i en kontaktliste under navn du, men ikke andre, gjenkjenner som nettstedet. På Wimp kunne passordet da ha vært lagret under navnet: Gitar-Geir, der adressen, yrkestittelen eller første ledd i den fiktive e-postadressen er passordet ditt.
- En variant kan være å lagre passord til slike lite sensitive tjenester i et dokument på enheten, i e-postboksen eller lignende.
Slik lager du passord som er lette å huske, men vanskelige å knekke.
- Mer om Facebook: Flere vil rammes av pleieres Facebook-avhengighet.
Hvis man skulle bruke samme setning på en annen konto kunne den se slik ut:
På Hotmail: JsgmmC23jpHm.
På Elghundklubben: JsgmmC23jpEk.
Hvorfor bry seg?
Om man spør mange nok finner man alltids noen som ikke ser noe problem i at hverken deres egne passord er på avveie eller at uvedkommende følger med på deres digitale liv: «De har jo ikke noe å skjule»? For all del, man skal ikke tvinge noen til å skaffe seg bedre passord eller ivareta sin digitale integritet. Derfor er det tips om en del dårlige passord litt lenger ned i artikkelen også. Passord som har vært i bruk på LinkedIn inntil de nylig ble publisert som såkalte «hashtags» på en nettside som brukes en del til slikt.
En «hashtag» kan beskrives som en utregning der passordet gjøres om til en kode på 32 bokstaver og tall. Dette skal tjene som identifiseringskode for nettstedet der passordet brukes slik at de slipper å lagre passord i klartekst. Hvis noen for eksempel har brukt passordet «123» blir det til koden «40bd001563085fc35165329ea1ff5c5ecbdbbeef».
De som av en eller annen grunn ønsker å skaffe seg tilgang til en konto der de kjenner «hashtagen» på passordet kan da få maskinen til å sjekke opp slike lekkede hashtager mot lister på tidligere identifiserte passord.
Kanskje ønsker de som driver med slikt bare å få adgang til e-postkontoen din for å bruke den til utsendelse av spam og få tak i stadig flere bekreftet aktive e-postadresser å selge videre til andre spammere? Kanskje er de ute etter identitetstyveri eller å bruke e-posten eller Facebook-kontoen til å svindle andre.
Hvordan ville kontaktene dine ha reagert dersom de fikk en melding om at du satt fast på flyplassen i Bangkok og måtte betale en avgift (for eksempel tilsvarende 300 kroner) til et oppgitt kontonummer for å komme deg på flyet? En som har tilgang til e-postkontoen kan ha tilgang til reisedetaljer også. Hver av dine hjelpsomme venner som blir lurt vil gi en pen gevinst for svindleren som kan sitte i Nigeria, Brasil, Ukraina … eller ved siden av deg på toget og se passordene på tjenestene du har logget deg inn til på usikret (eller passordknekket) trådløsnett.
Mange vil kanskje ikke gidde å varsle politiet en gang om noe slikt hvis redselen for å bli konfrontert med sin egen naivitet, eller troen på henleggelse, uansett er høyere enn savnet av de få kronene.
Økonomiske motiver er kanskje det som rammer de fleste, men det er tross alt bare penger. Enkelte vil en eller annen gang også oppleve at uvedkommende tar seg inn i deres passordbeskyttede kontoer av mer personlige grunner: Hevn, sjalusi, posisjonering i en arvestrid, barnefordeling, … eller kanskje for å finne sensitivt materiale som tilhører arbeidsgiver, et utvalg man jobber med eller lignende. De som har noe å beskytte vil nok skjønne det.
Her er noen dårlige passord
De som bare trenger et enkelt passord kan velge og vrake i følgende passord som blir ledige på LeakedIn nå, men som var i bruk av noen inntil hashtagene ble publisert på nettet av noen som har skaffet seg uautorisert adgang til dem.
Den som brukte passordet stortinget må finne et nytt et nå. Stortinget (med stor S) var i alle fall ikke blant de avslørte hvis du trenger tips.
Av de andre avslørte passordene på LinkedIn nylig nevnes: mandag, tirsdag, onsdag, torsdag og fredag. Ingen hadde tenkt på å skrive ukedagene med stor bokstav, så det får være et tips om nesten like dårlige passord for de som vil ha det.
Blant de avslørte passordene var pilspils, men fredagspils var ikke blant dem, så tipset er formidlet til de som måtte føle behovet.
Derimot var alle følgende ord i bruk som passord, inntil de altså ble avslørt, slik at brukerne nå må endre fra: Passord, password, Linkedin, Gunnar, 123456, hestkuk, aftenposten, Dagbladet, 17.mai, pupper, KingKong, Netcom, hemmelig, cocacola, Hansen, Jensen, Elizabeth, Bjarne, Ludvig og det ikke lenger helt originale qwerty, selv med stor bokstav først.
De som jobber med å knekke disse passordene sliter ofte med de særnorske bokstavene som æ,ø og å. Det kan være et tips for deg som ikke synes det er veldig viktig å gjøre det enkelt for passordtyver å stjele dine passord.
Passordet øløløløl var et av de stjålne som ikke var cracket ennå da dette innlegget ble publisert, men det var i tilfelle kun et spørsmål om kort tid før de fikk kjørt gjennom ulike tegnsett.
Mer:
Strafferammen for datainnbrudd er seks måneder fengsel, men inntil to år hvis det er i vinnings hensikt. Mer om datainnbrudd.
Mer om emnet informasjonssikkerhet kan du finne hos Norsk senter for informasjonssikring (NorSIS).
På LeakedIn.org og Lastpass.com kan du teste om passord er blant de lekkede fra LinkedIn.
Heisann, er en grei artikkel dette og det med passord sikkerhet er MEGET viktig i disse dager. Men jeg vil bare si at man trenger ikke å lage så avanserte passord.
Ett enkelt passord som MittNavnErJakopEriksen23 er så og si umulig å cracke. Sannheten er at med en gang du går over 6-8 siffer, med store og små bokstaver inkludert ett tall så er det praktisk talt umulig med mindre «hackerne» bruker såkaldte «dictionaries», men da må ditt passord faktisk være inne i den ordboken. Så hvis du lager ett Norskt passord, som er bare litt uvanlig med store og små bokstaver inkludert ett tall vil ingen klare det.
Det har du selvfølgelig helt rett i. Helt enig i at det du skriver er gode passord, men det forutsetter at tjenesten tillater så lange passord. Tipset om å lage seg en huskeregle på for eksempel 12 tegn som inkluderer siffer, store og små bokstaver er med tanke på tjenester som ikke tillater lengre passord enn 12 tegn og dem er det dessverre en del av. Enkelte tjenester tillater ikke mer enn åtte tegn og da begynner det å bli skummelt å benytte ord uansett om man starter dem med store bokstaver, ikke sant? 🙂