Hvordan få orden på passordene dine

Med ujevne mellomrom kommer det oppslag i media om ulike nett-tjenester der brukernes passord er på avveie. Sist var det LinkedIn. Blant tjenesteleverandørene som tidligere har opplevd at uvedkommende har skaffet seg adgang til brukerpassord er e-posttjenester som; G-mail, Hotmail og Yahoo, musikktjenesten Spotify, Nettby og diverse andre sider for kontaktsøkende mennesker.

Faksimile VG.

Tidligere i år har norske medier  meldt om passord på avveie fra diverse spillsider (TV2) og YouPorn.com (VG). Noen jakter stadig på andres passord, både tilfeldig og målrettet. Det blir sikkert ikke lenge til neste sak mot tilfeldige brukere blir kjent.

De målrettede angrepene får uvedkommende (folk flest) gjerne ikke vite om. De som utsettes for det ønsker ofte ikke å avsløre hverken om de har mistet kontroll på sensitiv informasjon eller at de har oppdaget  innbryterens metoder og hva de var ute etter.

De enkleste passordene blir gjerne knekt først. Derfor kan det være lurt å ha noen skikkelig vanskelige passord, men det skaper igjen nye problemer … med å huske dem. Her kommer noen triks.

Overlate jobben til andre

Det finnes en rekke tjenester som tilbyr seg å lagre passordene dine for deg, både gratis og mot betaling. Her gjelder å holde tunga rett i munnen, for ikke å si i rett munn. I tilfelle man vil benytte en «password manager» så vurder først troverdigheten til tjenesten og hva du er villig til å risikere. Uansett må du huske ett passord – til denne tjenesten. Med mange egg i samme kurv er det viktig å sikre denne kurven sterkest mulig.

Hoppe over problemet

Hvis man ikke trenger å huske passordet, kan man skrive hva som helst av tegn i en lang nok kombinasjon. Hvis man allikevel har elendig passordhukommelse og benytter tjenester der det er mulig å klikke «glemt passord» for å få tilsendt et nytt, kan det kanskje være like greit for noen? Man trenger da kun å huske enten passordet til e-postkontoen man får nytt passord sendt til, eller huske hvor man har lagt mobiltelefonen dersom nytt passord skal sendes som SMS.

Et minus ved denne metoden kan være at enkelte tjenester er trege med å sende nytt passord. Da finnes det en annen måte å hoppe over problemet på. Den gir deg ikke sikrere passord, og kan til og med utgjøre en risiko for kompromittering, men om man vurderer risikoen for krenket personlig integritet som lavere enn fordelen med å ha orden på visse passord, kan den brukes.

  • Lagre slike passord i en kontaktliste under navn du, men ikke andre, gjenkjenner som nettstedet. På Wimp kunne passordet da ha vært lagret under navnet: Gitar-Geir, der adressen, yrkestittelen eller første ledd i den fiktive e-postadressen er passordet ditt.
  • En variant kan være å lagre passord til slike lite sensitive tjenester i et dokument på enheten, i e-postboksen eller lignende.

Passordet 123456 på LinkedIn er avslørt i denne hashtagen. LeakedIn lar deg prøve ulike passord.

Slik lager du passord som er lette å huske, men vanskelige å knekke.

Det er mye vanskeligere for de fleste å huske en tilfeldig rekke med tall, store og små bokstaver enn å huske en favorittsang, en hyggelig hendelse eller noe man gleder seg til. Rekken JsgmmC23jpFb er bare på 12 tegn, som er maksimalt antall tegn flere tjenester lar deg ha i et passord, men hvor mange slike klarer du å huske? Hvis tegnene danner en mening for deg kan du klare mange.
Hvis setningen «Jeg skal gifte meg med Cathrine 23. juni» betyr noe for deg, bør det være mulig å huske at du skal bruke første bokstav i hvert av ordene «JsgmmC23j». Man må bestemme seg for hvordan man skal bruke store og små bokstaver i slike setninger. Bryllupsdatoen kan du like gjerne pugge uansett. Det vil du få igjen for senere 🙂
Hvis man tviler såpass på egen hukommelse at man ikke tør prøve mer enn en setning, går det an å ha et tillegg på slutten. Her har jeg satt på de tre bokstavene pFb, som kan bety at dette passordet er til bruk på Facebook.

Hvis man skulle bruke samme setning på en annen konto kunne den se slik ut:
På Hotmail: JsgmmC23jpHm.
På Elghundklubben: JsgmmC23jpEk.

Hvorfor bry seg?

Om man spør mange nok finner man alltids noen som ikke ser noe problem i at hverken deres egne passord er på avveie eller at uvedkommende følger med på deres digitale liv: «De har jo ikke noe å skjule»? For all del, man skal ikke tvinge noen til å skaffe seg bedre passord eller ivareta sin digitale integritet. Derfor er det tips om en del dårlige passord litt lenger ned i artikkelen også. Passord som har vært i bruk på LinkedIn inntil de nylig ble publisert som såkalte «hashtags» på en nettside som brukes en del til slikt.

En «hashtag» kan beskrives som en utregning der passordet gjøres om til en kode på 32 bokstaver og tall. Dette skal tjene som identifiseringskode for nettstedet der passordet brukes slik at de slipper å lagre passord i klartekst. Hvis noen for eksempel har brukt passordet «123» blir det til koden «40bd001563085fc35165329ea1ff5c5ecbdbbeef».

De som av en eller annen grunn ønsker å skaffe seg tilgang til en konto der de kjenner «hashtagen» på passordet kan da få maskinen til å sjekke opp slike lekkede hashtager mot lister på tidligere identifiserte passord.

Kanskje ønsker de som driver med slikt bare å få adgang til e-postkontoen din for å bruke den til utsendelse av spam og få tak i stadig flere bekreftet aktive e-postadresser å selge videre til andre spammere? Kanskje er de ute etter identitetstyveri eller å bruke e-posten eller Facebook-kontoen til å svindle andre.

Hvordan ville kontaktene dine ha reagert dersom de fikk en melding om at du satt fast på flyplassen i Bangkok og måtte betale en avgift (for eksempel tilsvarende 300 kroner) til et oppgitt kontonummer for å komme deg på flyet? En som har tilgang til e-postkontoen kan ha tilgang til reisedetaljer også. Hver av dine hjelpsomme venner som blir lurt vil gi en pen gevinst for svindleren som kan sitte i Nigeria, Brasil, Ukraina  … eller ved siden av deg på toget og se passordene på tjenestene du har logget deg inn til på usikret (eller passordknekket) trådløsnett.

Mange vil kanskje ikke gidde å varsle politiet en gang om noe slikt hvis redselen for å bli konfrontert med sin egen naivitet, eller troen på henleggelse, uansett er høyere enn savnet av de få kronene.

Økonomiske motiver er kanskje det som rammer de fleste, men det er tross alt bare penger. Enkelte vil en eller annen gang også oppleve at uvedkommende tar seg inn i deres passordbeskyttede kontoer av mer personlige grunner: Hevn, sjalusi, posisjonering i en arvestrid, barnefordeling, … eller kanskje for å finne sensitivt materiale som tilhører arbeidsgiver, et utvalg man jobber med eller lignende. De som har noe å beskytte vil nok skjønne det.

 Her er noen dårlige passord

De som bare trenger et enkelt passord kan velge og vrake i følgende passord som blir ledige på LeakedIn nå, men som var i bruk av noen inntil hashtagene ble publisert på nettet av noen som har skaffet seg uautorisert adgang til dem.

Passordet stortinget er avslørt her.

Den som brukte passordet stortinget må finne et nytt et nå. Stortinget (med stor S) var i alle fall ikke blant de avslørte hvis du trenger tips.

Av de andre avslørte passordene på LinkedIn nylig nevnes: mandag, tirsdag, onsdag, torsdag og fredag. Ingen hadde tenkt på å skrive ukedagene med stor bokstav, så det får være et tips om nesten like dårlige passord for de som vil ha det.

Fredagspils var ikke blant de avslørte passordene.

Blant de avslørte passordene var pilspils, men fredagspils var ikke blant dem, så tipset er formidlet til de som måtte føle behovet.

Derimot var alle følgende ord i bruk som passord, inntil de altså ble avslørt, slik at brukerne nå må endre fra: Passord, password, Linkedin, Gunnar, 123456, hestkuk, aftenposten, Dagbladet, 17.mai, pupper, KingKong, Netcom, hemmelig, cocacola, Hansen, Jensen, Elizabeth, Bjarne, Ludvig og det ikke lenger helt originale qwerty, selv med stor bokstav først.

Passordet øløløl er blant de lekkede passordene, men var ikke knekket ennå da dette innlegget ble publisert.

De som jobber med å knekke disse passordene sliter ofte med de særnorske bokstavene som æ,ø og å. Det kan være et tips for deg som ikke synes det er veldig viktig å gjøre det enkelt for passordtyver å stjele dine passord.

Passordet øløløløl var et av de stjålne som ikke var cracket ennå da dette innlegget ble publisert, men det var i tilfelle kun et spørsmål om kort tid før de fikk kjørt gjennom ulike tegnsett.

Lykke til med nytt passord.

Bloggurat

Blogglisten

Mer:

Strafferammen for datainnbrudd er seks måneder fengsel, men inntil to år hvis det er i vinnings hensikt.  Mer om datainnbrudd.

Mer om emnet informasjonssikkerhet kan du finne hos Norsk senter for informasjonssikring (NorSIS).

LeakedIn.org og Lastpass.com kan du teste om passord er blant de lekkede fra LinkedIn.

 

Bedre sent enn aldri

Oppdatert 1. mars. VG: Nytt Internet Explorer-hull rammer XP-brukere.

– – –

advarer også norske myndigheter mot å bruke Internet  Explorer. Advarselen fra Norsk senter for informasjonssikring (NorSIS) kom drøyt tre uker etter at Google offentliggjorde at sikkerhetshull i Internet Explorer var utnyttet i angrep mot flere selskaper og nettbrukere i Kina i midten av desember.

Den kom 19 dager etter at tyske myndigheter, (og raskt etter dem blant annet franske og svenske myndigheter) advarte sine innbyggere om det samme.

Fra nettsiden til NorSIS

Mange har kanskje tatt affære uten å vente på råd fra norske myndigheter. For en drøy uke siden meldte norske medier at advarslene (andre lands) virket.

Noen har kanskje ikke brydd seg om å gjøre noe heller, og satser på at ting oppdateres og går over av seg selv?

Her er forresten hva leserne av Norske forhold siste to uker har brukt av nettlesere:

Uansett skader det ikke å ha flere nettlesere, hvis du absolutt beholde en oppdatert versjon av Internet Explorer.

Mozilla Firefox kan du for eksempel laste ned på firefox.no. Fra Google.com/chrome får du Google Chrome og Opera kan lastes ned på opera.com.

Fra nyttår har forresten ikke norske offentlige organer lov til å diskriminere databrukere ved å tvinge dem til å benytte spesifikke programmer for å kunne bruke nettsidene og tjenestene. Mer om det her.

 

Mest lest på Norske forhold siste to dager, pr 2. februar.

1. Rett fokus.

2. Mot normalt.

3. Merkelig folkeparti.

4. Skandalen vokser, men følges det opp?

5. En ny Hamrén.
Bloggurat

Blogglisten

Twingly BlogRank

18. februar. VG: Nå kommer Microsofts tvungne nettleservalg. (Du kan selvfølgelig kvitte deg med Internet Explorer allerede nå.)

11. februar. VG: Oppdater Windows nå (Eller kvitt deg med Microsofts produkter som fremstår som årelange sikkerhetshull.)

4. februar. VG: Enda et sikkerhetshull oppdaget i Internet Explorer.