En fin sommerdag i fjor ble rekrutteringstjenesten LinkedIn hacket og 6,5 millioner passord kom på avveie.

Stadig hører vi om relativt store tjenester som lider samme skjebne. Dropbox har hatt ubudne gjester, og det samme gjelder for både Yahoo, Twitter og eBay.

Hvorfor angår dette deg?

At noen får tak i Twitter-passordet ditt er kanskje i seg selv ikke så alvorlig. Du mister kontroll over kontoen din og noen kan finne på å skrive ting du ikke står for, men det er neppe verdens undergang.

Det som imidlertid er alvorlig, er at du antakelig har det samme passordet flere steder og i de fleste tilfeller er brukernavnet ditt det samme som e-post adressen din. Easy.

Den som får tak i Twitter passordet ditt vil dermed kunne prøve det samme på en rekke andre tjenester og dermed få tilgang til f.eks. webmailen din og i neste omgang kanskje også dokumentene dine. Stadig flere sender sensitiv informasjon på mail.

Ville det fått konsekvenser om noen publiserte jobb-dokumentene dine på nettet? La oss si budsjetter, møtereferater eller arbeidsavtalene i bedriften din?

Svaret er ja.

John The Ripper

Nå skal ikke jeg svartmale dette fullstendig, men vi er nok alle naive i forhold til passordene våre. johntheripper1_design
I følge ekspertene er det absurd enkelt å bli hacket, og på et eller annet tidspunkt i livet vil det skje også deg.

Hver dag blir datasystemer angrepet, blant annet med gratisverktøyet «John The Ripper» som tester millioner av kombinasjoner hvert sekund og knekker et enkelt passord på noen få minutter – med såkalt brute-force.

Hva bør du gjøre?

Det er to ting du absolutt bør gjøre.

  1. Ha ulike passord på tjenestene du bruker
  2. Ha bare gode passord

 

Hva er så et godt passord?

Det finnes mange artikler og retningslinjer på dette området. Det er alltid et spørsmål om kompleksitet kontra effektivitet. Noen mener at passord skal være så komplekse at du ikke skal kunne huske dem, men ha dem i en tekstfil eller passordtjeneste og kopiere inn når du logger på.

 

pass_2

 

Det blir fort litt tungvint, men eliminerer også dette med tastatur-sniffere som kan være installert på maskinen din. Andre foreslår at man lager et «system» med et basis-ord og tilleggstegn for hver tjeneste som brukes.

Det alle synes å være enige om er at en blanding av tall og store og små bokstaver er bra greier. Jo lengre jo bedre.

Dette skal ikke være enkelt. Det er kanskje lettere å si hvilke ord man ikke bør bruke. Her er listen over de verste og mest brukte passordene i 2012. Det ser ikke ut som vi har lært en døyt siden året før, topp 3 er nemlig akkurat slik den var i 2011.

Vårt forslag

Når alt kommer til alt kan følgende være en god regel: Bruk en setning, gjerne med særnorske tegn, noen tall og både store og små bokstaver. 9 tegn eller mer. Endre hvert halvår.

«Tr1ing er gøy» er et godt passord. «2ttenham rykker ned» er et annet godt passord.

You see?

Om du vil gå «mønster-veien» kan «Tr1ing er gøy på Twitter» og «Tr1ning er gøy på Facebook» være en løsning. Det er iallefall bedre enn å ha likt passord overalt.

 

Test ditt eget

howsecureismypassword.net er en tjeneste som regner ut hvor lang tid det tar å knekke ditt passord. Prøv og se om du får en aha-opplevelse!

howsecure

 

Da må jeg avslutte, skal ta turen rundt omkring og skifte mine passord :-) Skal du?

Oppdatering: @paljoakim gjorde meg oppmerksom på denne gode og omfattende guiden fra DinSide når det gjelder passord-tjenester: http://www.dinside.no/906078/unike-passord-paa-alle-nettsteder

Oppdatering 15.11.2014:
«Have I been pawned» er en nyttig tjeneste hvor du kan sjekke om dine kontoer eller e-post adresser er forbundet med en kjent lekkasje: https://haveibeenpwned.com/

Oppdatering 27.06.2016:
Her kan du få oversikt over alle de største datalekkasjene i nyere tid: http://www.informationisbeautiful.net