Patricks gode råd om passwords

– Der er ikke noget der er 100 procent sikkert når det gælder sikkerhed og it. Det kan man lige så godt lære at leve med, sagde it-sikkerhedsguruen Bruce Schneier i sidste uges Harddisken.

Det betyder selvfølgelig ikke at man bare skal give op, der er masser af ting man selv kan gøre.

Lav gode passwords

Udover antivirus-programmer, firewalls og PIN-koder er passwords jo et af de områder hvor vi oftest stifter bekendtskab med behovet for sikkerhed og beskyttelse – og desværre også et område hvor rigtig mange af os har dårlige vaner.

Derfor følger Patrick Mylund Nielsen fra sikkerheds-firmaet Kaspersky Lab op med et par gode råd til dem, der trods alt gerne vil beskytte sig så godt som det nu lader sig gøre.

Ord, tegn eller sætninger?

Hvis man bare vælger et enkelt password skal det helst være minimum 12 tegn langt, og det skal helst være en række af tilfældige tegn – ikke noget med ord, som kan findes i ordbogen, og slet ikke noget med at bruge navnet på sin søster eller folkeskole eller noget som andre kan gætte.

Men det kan være svært at huske, og derfor kan det være en idé at bruge en kodesætning istedet for bare et enkelt ord.

– Sætninger er nemmere at huske end tilfældige tegn, men sværere for hackere og deres computerværktøjer at gætte, siger Patrick Mylund.

Det er også meget vigtigt at bruge forskellige passwords på de forskellige tjenester – ellers har en hacker jo meget nemmere adgang til alle ens konto og tjenester, hvis de bare får fat i det ene password.

Det giver så til gengæld et nyt problem, nemlig at mange af os har dusinvis af tjenester som vi bruger hver dag, og så kan det være svært at huske alle sine passwords.

Få styr på de mange passwords

Derfor anbefaler Patrick Mylund også at man overvejer at bruge en password manager.

– En password manager holder styr på dine brugernavne og passwords til de forskellige tjenester, og kan sættes op til bare automatisk at logge dig ind på fx Facebook, siger han.

Gode manager-programmer kan også hjælpe dig med at skabe lange, tilfældige og sikre passwords til nye tjenester – for nu hvor du ikke selv skal huske dem behøver de jo ikke være ord eller sætninger!

Noget du ved og noget du har

Endelig skal man overveje om man måske vil bruge det man kalder to-faktor-sikkerhed. Det er fx sådan noget som NemID, hvor man udover sit brugernavn og et password også skal bruge en kode – i dette tilfælde på papkort eller den nye elektroniske nøgle.

– Kombinationen af “noget man ved” og “noget man har” – password og ekstra nøgle – er noget af det sikreste vi har som også er praktisk anvendeligt i hverdagen, siger Patrick Mylund.

LINKS:
Hør indslaget med Patrick Mylund (til sidst i ugens Harddisk)
Hør interview med sikkerhedsguruen Bruce Schneier (i slutningen af sidste uges Harddisk)
Aktuel sag om svenske password-hacks – Expressens artikler
Gode råd om passwords på Version2
Password-managers
Kaspersky om passwords

Reklamer

4 kommentarer to “Patricks gode råd om passwords”

  1. Stefan Says:

    Et godt tip (som jeg personligt bruger) er at bruge sange!

    F.eks. plejer jeg at bruge børnesange til at lave og huske mine koder.
    F.eks.: “Mariehønen evigglad, gik tur på et rabarberblad”
    I kode bliver det:
    “mhe:),gtperb”

    tager bare første bogstav (og et ekstra i mariehønen og rababerblad) og så f.eks. kan glad oversættes til en smiley.

  2. Niels Says:

    Længden er virkelig ‘nøglen’ til et sikkert password. Og det kan nemt gøres længere
    ved at putte ens password i en ‘høstak’ af selvvalgte tegn.

    Prøv at se forskellen på “mitpassword” og “!!mitpassword!!”
    her https://www.grc.com/haystack.htm

    f.eks. er “!!!mitpassword!!!” rigtig mange, mange gange sværere at cracke end “mhe:),gtperb” – men måske nemmere at huske

  3. Erik Jensen Says:

    Jeg er lidt i tvivl mht. til det der kaldes ‘brute force’. Det er jo ikke svært at lave login proceduren så det ikke er muligt med tusindvis af forsøg i løbet af kort tid. Jeg tror banken står af efter 3 forsøg.

    Men en avanceret hacker kan måske omgås den slags sikkerhed også?

    Ellers skulle et password med tilfældige tal, bogstaver, store,små i en længde af 8 tegn være nok. Problemet er at opbevare sådanne passwords tilstrækkeligt sikkert. De vil typisk ligge i en mailbox og er altså ikke mere sikre end mailboxen. De er velegnede til det der ikke er en katastrofe i at blive hacket.

  4. Patrick Mylund Nielsen Says:

    Hej Erik,

    Det er helt rigtigt, at en tjeneste kan gøre det svært at brute-force et password ved f.eks. at begrænse hvor ofte man kan forsøge at logge ind. Det virker dog kun hvis der ikke er en anden vej ind på den server, der har dine passwords–og det er der ofte. De er måske lagret i klar tekst (så en ondsindet bruger bare kan læse dem, og ikke behøver cracke noget), eller som “fingeraftryk” (hash digests), der for tilfældet kan crackes med op til 5,6 milliarder forsøg i sekundet med bare én computer — ca. 13 dage for at cracke et password på 8 karakterer, også selvom det består af store tegn, symboler og tal–og det er med bare én maskine.

    Det bedste ville være at lave så lange passwords, som tjenesten tillader dig (gerne på 40 karakterer eller mere), og så bruge en password manager til at lagre dem. En god password manager krypterer databasen med passwords så de ikke er lette at få fat på.


Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s

%d bloggers like this: