Går du i passord-fella?

Er du blant de 35% som bruker samme passord flere steder? Da kan du ha et stort problem…

Publisert:

Tekst:
Espen Skogen
Foto:
Fredrik Christensen / Istock

Se for deg følgende scenario: Den samme nøkkelen passer til huset ditt, til bilen, til jobb og til postkassa. Nøkkelen brukes i hengelåsen på treningssenteret, og til bommen langs hytteveien.

Hjemme har selvfølgelig familien nøkkel, postmannen har nøkkel til postkassa – og hyttenaboene har nøkkel til bommen. I praksis betyr dette at alle sammen har nøkkel overalt.

Ville du gitt hyttenaboer og postmann nøkkel til bil, hus og hytte? Om du er blant de 35 prosentene av nordmenn som bruker samme passord mange steder, er det nemlig i praksis det du gjør.

Det er imidlertid én stor forskjell mellom internett og den fysiske verden: Om noen får tak i passordet ditt, er det en smal sak å teste det på mange tusen nettsteder i løpet av noen sekunder.

Det blir som om innbruddstyven din kunne laget én million kopier av nøkkelen din, og testet den i en million dører nesten samtidig. Heldigvis er det noen helt enkle ting du kan gjøre for å holde deg mye tryggere på internett.

Per Thorsheim Passordekspert

Per Thorsheim er en av verdens fremste eksperter på passordsikkerhet. Han grunnla passordkonferansen PasswordsCon, har bistått amerikanske myndigheter med offisielle passordanbefalinger og var den som i juni 2012 avslørte at Linkedin var blitt hacket.

Følg Per Thorsheim på

1.050 sikkerhetsbrudd i 2017

Små og store sikkerhetsbrudd skjer hele tiden – over 1.000 av dem bare i 2017, ifølge Breach Level Index – og ikke alle oppdages før det har gått lang tid. I 2017 ble det blant annet klart at brukerinformasjon var stjålet fra samtlige Yahoo-tjenester – deriblant bildetjenesten Flickr og bloggplattformen Tumblr. Mer enn tre milliarder brukere hadde fått sin informasjon stjålet – i 2013. Ingen oppdaget det på flere år. Man vet fortsatt ikke hvem som sto bak.

I løpet av 2017 ble det registrert hele 1.050 sikkerhetsbrudd – eller nesten tre hver eneste dag. De fleste av dem er små og lite dramatiske for de fleste av oss – men legger vi sammen alle snakker vi om milliarder av berørte hvert eneste år. Det er snakk om alt fra e-postadresser som lekkes, til sensitive personopplysninger. I England opplevde 26 millioner pasienter at journalen deres – med alle helseopplysninger – var eksponert. 143 millioner amerikanere opplevde at sensitive økonomiske opplysninger lekket på nett etter et sikkerhetsbrudd hos Equifax, som driver med kredittopplysning.

Du kan ikke nødvendigvis stole på tjenestene du bruker – selv store og kjente aktører.

I 2016 ble informasjon om 57 millioner brukere av taxitjenesten Uber stjålet. I stedet for å varsle de berørte brukerne og gjøre tiltak for å begrense skaden, valgte Uber å betale hackerne 100.000 dollar for å holde datainnbruddet hemmelig. Med andre ord – du kan ikke nødvendigvis stole på tjenestene du bruker om noe skulle skje, selv om det er store og kjente aktører.

De største sikkerhetsbruddene på nett

Det skjer flere sikkerhetsbrudd hver eneste dag. De aller fleste av dem er små og udramatiske for de fleste – men noen berører mange av oss.

3,6 milliarder brukerkontoer lekket
August 2013
145 millioner brukerkontoer lekket
Februar 2014
117 millioner brukerkontoer lekket
Juni 2012
68,7 millioner brukerkontoer lekket
Juli 2012
57 millioner brukerkontoer lekket
Oktober 2016

 

Hva er et godt – og hva er et dårlig passord?

Mange tenker at et passord som er vanskelig å gjette, er et godt passord. Tradisjonelt har mange nettsteder anbefalt en tilfeldig blanding av store og små tegn, tall og spesialtegn. Problemet med dette er at passordet også blir umulig å huske.

Bruk en setning som passord! Mange glemmer at mellomrom teller som et spesialtegn.

Per Thorsheim

— Passordekspert

Ifølge passordekspert Per Thorsheim, er et godt passord noe som er enkelt å huske. Mange glemmer at mellomrom teller som spesialtegn, og hans beste råd er derfor at du rett og slett bruker en setning som passord:

–Velg noe positivt som hjernen din har lyst til å huske, for eksempel noe du sang for dine barn da de var små. Med en setning får du med store og små bokstaver, og mellomrom som er et spesialtegn. Dermed oppfyller du alle krav til passordkvalitet, råder han.

En av de vanligste teknikkene for å knekke passord er ikke gjetting – men såkalte brute force-angrep. Det går ut på at en datamaskin systematisk gjetter seg gjennom millioner av kombinasjoner, til riktig kombinasjon blir funnet.

Ved å ha et passord som ikke baserer seg på enkle ord, og som samtidig er langt, vil du sørge for at det tar såpass lang tid for en datamaskin å gjette, at sjansen er større for at skurkene hopper til neste brukerkonto på lista dersom din brukerkonto er med i en datalekkasje.

Etter hvert som datamaskinene blir stadig kraftigere, blir det dessuten stadig enklere å gjette seg fram til passord. Et passord som tok flere dager å gjette seg fram til med brute force-metoden for bare fem år siden, kan ta få sekunder i dag.

Hvor sikkert er ditt passord?

Så, hvor sikkert er ditt passord? Du vet sikkert at du bør bruke både store og små bokstaver, samt spesialtegn. I tillegg spiller selvfølgelig lengden på passordet en veldig stor rolle for hvor vanskelig det er å knekke. En rask datamaskin klarer i dag å gjette rundt to milliarder kombinasjoner i sekundet – og for hvert enkelt tegn øker antall mulige kombinasjoner eksponentielt.

Har passordet ditt for eksempel fem tegn, med tre små bokstaver og to tall, er det rundt 60 millioner ulike kombinasjoner. Med en moderne datamaskin, tar dette 0,03 sekunder å gjette seg til. Øker du imidlertid passordet til sju tegn, med én stor bokstav og seks små, bruker samme datamaskin ni minutter. Med ni tegn, inkludert stor bokstav og spesialtegn, bruker den over ni år.

Hvor sikkert er passordet?

Ved å taste inn et passord under, vil du se hvor lang tid det vil ta for en datamaskin å gjette seg frem til det. En kraftig datamaskin klarer å gjette omkring to milliarder passord i sekundet.

Vi lagrer ingen informasjon om passordet ditt

Hva er tofaktor-autentisering?

Tofaktor-autentisering er kort fortalt et dobbelt lag med sikkerhet. I tillegg til passordet ditt, må du bekrefte innloggingen ved hjelp av en tekstmelding, en telefonsamtale – eller med BankID. Dette gjør at det ikke holder å få tak i passordet ditt, og øker derfor sikkerheten dramatisk.

Per Thorsheim sammenlikner det med å få hjelp av naboen: – Se for deg at du har to låser i døra, og at du i tillegg til din egen nøkkel har den andre hos naboen. Når du skal låse deg inn, åpner du først din egen lås. Så kommer naboen ut og bekrefter at det er deg, før han åpner den andre låsen.

Tofaktor-autentisering finner du hos de fleste store tjenester, og både Google, Facebook og Apple tilbyr dette. Det anbefales på det aller sterkeste at du aktiverer dette der det er tilgjengelig.

Hva kan skje?

Hva som kan skje dersom noen klarer å logge inn på nettbanken eller e-posten din, er kanskje åpenbart. Det er lett å tenke at det ikke er like farlig om noen greier å komme seg inn på Netflix-kontoen – hva så, om de ser på noen serier til du får byttet passordet?

Problemet ligger imidlertid ikke i at de kommer seg inn på Netflix-kontoen din. Det handler om informasjonen som kommer ut derfra. Om du har brukt samme opplysninger til å logge inn andre steder, og noen får tak i Netflix-opplysningene dine, kan du fort ha et stort problem.

Du tenker kanskje at hackere med dårlig oversatt norsk ikke kommer så langt. Problemet er at de blir stadig bedre.

Om noen kommer seg inn på e-postkontoen din, risikerer du dessuten at de later som om de er deg. Du tenker kanskje at hackere med dårlig Google Translate-oversatt norsk ikke kommer så langt – men problemet er at de blir stadig bedre. I Norge har vi vært litt skånet for de aller verste eksemplene, fordi vi har et språk for spesielt interesserte – men med stadig bedre oversettelsesverktøy krymper denne fordelen for hver dag som går.

Sosial hacking finnes også

Hver eneste dag skjer det svindelforsøk gjennom å ta over andres e-postadresser. Ofte er slike angrep rettet mot firmaer – der man har gjort research på forhånd, og funnet ut for eksempel hvem som gjør utbetalinger, eller har tilgang til sensitiv data. Så tar man kontroll over e-postadressen til en person i en sentral posisjon, og bruker dette til å lure andre til å gi ut opplysninger, eller overføre penger.

Det fungerer overraskende ofte – fordi slike henvendelser baserer seg på målrettede angrep, der gjerningspersonene over lengre tid har studert personene de er ute etter. Dermed kjenner de både språk og tone, og kan utgi seg for å være andre på en svært overbevisende måte. Denne metoden kan brukes til å lure til seg penger, eller til å lure ansatte til å gi fra seg sensitive opplysninger om brukere eller kunder.

Sjansen øker for å bli utsatt

Per Thorsheim forteller at sjansen for å bli utsatt for en lekkasje eller et datainnbrudd er økende på nett i dag, men at det er viktig å ikke bli paranoid. Han understreker viktigheten av å bruke forskjellige passord:

–Skurkene kan få tak i passordet ved å lure deg, eller de kan hacke tjenesteleverandøren du bruker og stjele passordet ditt derfra. Det er derfor du gjør lurt i å bruke forskjellige passord – i tilfelle én tjeneste blir kompromittert og passordet kommer på avveie, kan det ikke brukes til å komme inn på andre tjenester du bruker.

Ifølge en fersk undersøkelse fra Dashlane, som står bak et av de mest populære programmene for å holde styr på passord, er kun tre av de 40 mest populære nettstedene trygge nok. De har kikket på fem ulike faktorer, og rangert nettstedene etter disse.

Kort oppsummert har Dashlane vurdert nettstedene etter hvorvidt de krever passord som er lengre enn 8 tegn, om de krever både tall og bokstaver, om de viser en vurdering av hvor sikkert passordet er når du oppretter det, om det er mulig å gjette passord mange ganger etter hverandre uten at man stenges ute, og om nettstedene tilbyr tofaktor-autentisering.

Resultater fra Dashlanes passord-undersøkelse

De 40 mest populære nettstedene ble vurdert etter fem ulike kriterier. Resultatene er ganske nedslående – kun tre av dem fikk full score på alle fem punkter. Og her snakker vi om noen av verdens største nettsteder – som Facebook, Google, Apple og Dropbox. Ingen av disse fikk for øvrig full pott.

Nettsteder med «farlig dårlige» passordrutiner
46%
Nettsteder som ikke tilbyr tofaktor-autentisering
32%
Nettsteder som ikke blokkerer brukere etter ti mislykkede forsøk
51%
Nettsteder som ikke gir deg en vurdering av hvor godt passordet ditt er
76%

Antall mislykkede forsøk før du blokkeres, samt tofaktor-autentisering, er de to viktigste. Det hjelper ikke hvor sikkert passordet ditt er, om en hacker får muligheten til å gjette et ubegrenset antall ganger. Med tofaktor-autentisering spiller det ingen rolle om noen får tak i passordet ditt, med mindre de samtidig har tilgang til for eksempel mobiltelefon også. Med ett unntak, selvfølgelig: Dersom du har brukt samme passord et annet sted – uten tofaktor-autentisering.

Fem raske passordtips

Per Thorsheim avslutter med et siste passordtips – som for de fleste av oss strider med alt vi har tenkt om passord: Han mener du bør skrive ned passordene dine.

– Det er mye verre å bruke samme passord flere steder, enn å ha skrevet ned passordene.

Per Thorsheim

— Passordekspert

–Sjansen for at noen skal komme seg inn i huset mitt, og kikke i kjøkkenskuffen, er minimal. Det er mye verre å bruke samme passord flere steder, enn å ha skrevet ned en liste med ulike passord, sier han, og avslutter med noen raske passordtips:

  • Bruk en setning som passord. Mellomrom er også et spesialtegn!
  • Ha unike passord på hvert nettsted
  • Bruk tofaktor-autentisering der dette er tilgjengelig
  • Du trenger ikke skifte passord, med mindre du vet at et passord har kommet på avveie.
  • Skriv ned passordene dine. Det er lurt!

Hvorfor skriver Santander om passord?

I Santander er vi opptatt av å være en ansvarlig bank, som gir deg som kunde gode råd og tips som forenkler hverdagen. Med gode rutiner for egen passordsikkerhet, synker sjansen dramatisk for at noen greier å komme seg inn på dine kontoer på nett.

Mange steder har man gjerne lagret kredittkortinformasjon, som kan komme på avveie. Selv om du som kunde i mange tilfeller kan få dekket tapet dersom noen misbruker kredittkortet ditt, betyr det ekstra arbeid for både deg og for oss. Ved å fokusere på passordsikkerhet, vil sjansen for at noe oppstår være mindre – og det er bra både for deg og for oss!

Se alle artikler

Du er kanskje interessert i disse sakene ?