Forståelse

Enda mer om passord 🔑

Husker du Craig? Han kjipe fyren på Internett som er på jakt etter passordet ditt? Vi er altså enige om at det er Craig sin feil at de såkalte ekspertene krever at passordene våre må være lange, kompliserte og umulige å huske.

Audun Larsen Oddekalv

Feb 26, 2023 — 4 min read

Photo by Christian Wiediger / Unsplash

💡

Dette er en fortsettelse fra forrige gang. Hvis du ikke har lest starten anbefaler jeg at du begynner med den.

Når jeg endelig har lært meg passordet mitt

Når du endelig har lært deg passordet ditt, så skjer det. Du må bytte det.

Hvorfor er det sånn? Hvorfor tvinger de meg til å bytte passord hele tiden? De lærde strides, og gjett hva: Verden utvikler seg. Slik jeg ser det er den eneste gode grunnen følgende: I det Craig får tilgang til kontoen, så er han faktisk lur. Han sitter helt stille. Han gjør ingen ting. Ikke på lenge. Det siste han vil er at du skal skjønne at han har klart å gjette passordet ditt. Kanskje. Det andre alternativet er at han er lat, utålmodig og bare ute etter raske penger. Da bytter han passordet for deg og prøver å selge det til deg. Med andre ord: Regelmessig passordbytte på Instagram er ikke noe poeng. På en jobb-konto derimot, så er det kanskje ikke så dumt.

Hvorfor gjenbruk av passord er en dårlig idé

Med gjenbruk i denne sammenhengen snakker om å bruke det samme passordet ditt flere steder. Har du tenkt på en ting: Når du lager en konto hos en tilfeldig nettbutikk, så gor du faktisk fra deg passordet til helt fremmede. Frvillig. Og jeg tipper du ikke tenker deg om ett sekund før du gjør det heller. Og hvis dette er det samme passordet som du bruker over alt så har du faktisk vært en løk. Det er jo litt som å gi passordet og e-postadressen til en tilfeldig fyr på gaten som sier du kan kjøpe en sykt billig Playstation av han. Høres smart ut.

Når finnes jo det selvfølgelig ærlige nettsteder som ikke har tenkt å stjele passordet ditt men det finnes ett problem til med gjenbruk av passord: Datainnbrudd.

For eksempel så ble det i Januar 2023 gjennomført uthenting av blant annet over 193 000 (ett hundre og nitti tre TUSEN) e-postadresser med tilhørende passord fra en norsk nettbutikk. Veldig mange gjør mye for å beskytte passord før de lagres i databasen med for eksempel kryptomagi. Dette hjelper, men selv ett kryptert/hashet passord er verdifullt for en angriper. Disse listene som stjeles selges på det mørke nettet til kriminelle som enten øsnker å stjele informasjon eller stenge deg ute fra kontoen din og deretter forsøke å selge den tilbake til deg.

💡

Sjekk om din e-postadresse har vært en del av et datainnbrudd på haveibeenpwned.com.

Løsningen

Si det sammen med meg: Bruk en passord manager. Lag ett eget passord for hver nettside du har konto på. Det er alt. Ferdig. Problem løst. Nesten.

På ett tidspunkt så skal du lage deg ett passord som skal beskytte alle de andre superlange, kompliserte og helt umulige å husker passordene som er lagret i passord manageren din. Eller så trenger du ett passord som du må bruke ett sted du ikke kan bruke passord manageren din. Hva gjør du da? Her er mitt tips: Bruk noen ord fra ordlisten. Men ikke ett, som vi snakket om tidligere.

Hvorfor det er en god idé kan bevises mattematisk men kort forklart så er det å gjette riktig ord fra en ordliste på 500o ord (som den over har) omtrent 80 ganger så vanskelig som å gjette riktig fra alle store og små bokstaver pluss tall. Det betyr at for hvert ord så må du ha ett passord på 80 tegn for å oppnå samme vanskelighetsgrad når man skal gjette. Så er det jo selvfølgelig slik at ett ord på 4-5 bokstaver er ett dårlig passord uansett, men slår du sammen 4-5 ord så er du et veldig, veldig sikkert passord som også er enkelt å huske.

Ordlisten over er laget som en såkalt «Diceware» ordliste. Det betyr at du kan bruke fire terninger som du triller samtidig for å finne frem til ett ord. Dersom en terning detter på gulvet når du triller teller den som null. Så lenge det ikke er krav om spesialtegn trenger du ikke å sette inn det i passordet. Det gjør det bare vanskelig å huske uten å tilføre noe sikkerhet.

Det var det, ett enkelt passord å husker som du kan bruke til å låse ned alle de andre passordene i passord manageren din. Lykke til.