Spotify er blitt hacket. Dette er meget alvorlig fordi mange bruker samme brukernavn/passord flere steder på web. Det er lurt å bytte passord hos Spotify (gjelder de som laget konto før 19.des 2008). Jobben blir tidkrevende fordi du også bør bytte alle andre steder hvor du har brukt samme passord. Hendelsen understreker også hvor sårbare vi blir når vi legger våre data på web, og stoler blindt på systemene. Dette blogginnlegget vil ta opp litt mer i dybden om passord. Jeg har tidligere skrevet en veileder om passord men den tror jeg ikke så mange har oppdaget, så derfor har jeg tatt en del av teksten derfra i dette blogginnlegget.
Mange passord er ikke sikre nok
Bruce Schneier er en guru på sikkerhet og det månedlige nyhetsbrevet hans Crypto-Gram anbefales på det sterkeste. Han skriver ofte om folks forhold til sikkerhet. Mange tror for eksempel at det er lurt å erstatte teksten -en på slutten av et passord med et 1-tall, men det er ikke godt nok. Passord-knekke-programvare prøver slike substitutter. Schneier skriver blant annet (et stykke ned i artikkelen) at bare ved å ta 1000 vanlige ord som "password", "1234" og liknende, og så kombinere med 100 vanlige endelser som "1", "@", "4u", årstall og så videre, vil en finne 24 % av alle passord (i følge hans studier). Et program kan gjøre dette lynraskt.
Hvordan lage gode passord?
Hvordan skal en så tenke angående sine passord? Jeg har ikke nødvendigvis noen fasit, men her er noen tips til hva du kan tenke på i valget av passord, og noen eksempler på slike. Egenskaper ved et godt passord:
- Lett å huske. Du bør ikke skrive opp passordet noen steder.
- Lett/raskt å skrive. Det reduserer sannsynligheten for at noen ser over skulderen din hva passordet er.
- Ha minst ett siffer i seg. Unngå bare sifre, eller å repetere enkelte tegn for mange ganger. Da blir oppgaven å knekke passordet lettere.
- Bestå av minst 8 tegn, gjerne flere, og helst en miks mellom store, små, sifre og spesialtegn.
- Byttes regelmessig. Hva som er regelmessig er relativt. Byttes det for ofte, medfører det at passordene går i surr, og folk starter å skrive ned passordene - noe som er dødssynd nummer én.
- Ikke inneholde vanlige ord som fins i ordlister.
- Unngå enhver form for informasjon som kan knyttes til deg, for det er gjerne det første som en angriper forsøker seg på. Deler av navnet ditt + familie, fødselsdatoer, adresser, telefonnumre, brukernavn og liknende må unngås. Det hjelper ikke om du staver baklengs, med store/små bokstaver, dobbelt opp og andre basisteknikker.
Det kan synes vanskelig å oppfylle kriteriene fra forrige punktliste. Hvordan skal du gå fram for å lage et godt nok passord? Her er noen tips:
Tips 1: For å få mer enn 8 tegn, så tenk i form av setninger. Slike husker du mye lettere enn tilfeldige tegn og de kan gi tilnærmet like gode passord. Du kan stokke om på setninger, kombinere strofer fra to sanger, ta en bestemt bokstav fra hvert ord i setningen, eller liknende. En ofte brukt teknikk er å velge første bokstav fra en kjent sang, et dikt eller en setning du selv lager. "Det snør, det snør - tiddelibom sa Ole Brumm" kan da gi passordet Ds,ds-tsOB. Legg merke til at komma brukes i passordet. Det er ikke bare lov, men gjør det til et bedre passord. Passordet er dessuten lett å huske og består tilsynelatende av tilfeldig valgte tegn.
Tips 2: En annen teknikk er å slå sammen to eller flere ord, og så knytte disse sammen med et eller flere spesialtegn. Hvis du ser på passordet tull-geit:house finner du en blanding av engelske og norske ord. Det er også lett å huske, lett å skrive, har 15 tegn, men bare små bokstaver, og ingen sifre. Likevel et sterkt passord
Tips 3: Passordet Berg1 er en fin by 03 har 21 tegn, og det er mer enn nok. Det er lett å huske og lett å skrive, og har spesialtegn (mellomrom), store og små bokstaver og sifre. En kan også sette opp slik at dette passordet gjelder for mars måned (nr 03 tilsvarer mars). Når april kommer, og du logger inn, vil du fort oppdage at du skriver inn 03. Slik får du automagisk en påminnelse om at det er på tide å bytte passord. Det enkleste er å bytte til "Berg1 er en fin by 04", men det skader ikke å være mer kreativ. Det er sunt å bytte hele passordet. Hvis du heller vil bytte hvert år, så bruk 09 for 2009, 00 for 2010, 11 for 2011 og så videre.
Tips 4:La oss se på en litt mer avansert konstruksjon: Berg1 by@Vestland1.no. Her kombinererer du ting som naturlig hører sammen (evt. som du later som at hører sammen). Bergen ligger på Vestlandet i Norge (no). Det er likevel nesten umulig å gjette et slikt passord, skjønt veldig lett å huske for deg. Oppbygningen som en e-postadresse fører til at du får brukt flere spesialtegn, og gjør det lett å huske, siden @ kan leses som engelske "at". Dermed betyr altså ola@adresse.no det at ola hører til hos (at) adresse.no. Denne tankemåten kan du bruke til å lettere bygge opp gode passord.
Tips 5: Det kan bli en utfordring dersom du har mange ulike passord. En god regel er å ikke bruke samme passord på mange steder, fordi dersom passordet ditt blir kompromittert (dvs at andre får tak i det) på ett sted, kan det brukes til å logge inn på andre steder. Det kan være lurt å benytte kategorier med middels, sikkert og meget sikkert nivå på passordene dine. Da trenger du tre passord å holde styr på, og hvis ett passord avsløres (som nå var tilfelle med Spotify) trenger du ikke endre mer enn de tjenestene som er på samme sikkerhetsnivå.
Alternativt kan du ha ett passord for hvert eneste sted du skal logge inn på:
- arbeidRliv1@work.yes - brukes på jobben. Arbeid er livet for mange. En slik setning gir store og små bokstaver til dette passordet. R kan leses "er" og 1 kan leses "et". Med andre ord: Lett å huske og teknisk sett et sterkt passord.
- famili1Rliv1@home.jippi - brukes på hjemmemaskinen. Familien er viktig. Lett å huske.
Et passord er mer enn bare passordstyrken
Passordets styrke er bare en liten del av sikkerheten knyttet til et passord. Tenk over viktigheten av følgende:
- Del aldri ut passordet til andre, og må du det, så bytt det etterpå (selv familiemedlemmer).
- Tenk over hvor og hvordan du bruker passordene dine. Ser noen over skulderen din? Går det an å lese på leppene dine hva du skriver? (hvor mange sier vel ikke pinkoden inni seg ved betaling med VISA i butikken... :-)
- Memorer passordet, ikke skriv det opp. Skriv eventuelt opp tilstrekkelig informasjon til at du, og bare du, klarer å resonnere deg fram til riktig passord.
- Kategoriser de passord du har. Det beste er å ha unike passord for hvert system. Dersom du har mange, kan du dele inn i kategorier for grad av sikkerhet, for eksempel "viktig", "middels" og "usikkert". Du kan for eksempel klassifisere slik at passord relatert til jobben, brukes også i nettbank (siden begge er viktige systemer som bare du skal ha tilgang til). For å logge inn på din brukerkonto hos diverse Internettjenester som Facebook, Twitter, bloggen din, gmail/hotmail, etc. bruker du passord fra en annen kategori.
- Ringer noen til deg og spør om passordet ditt, med begrunnelse i at de er IT-personell som må sjekke opp diverse ting? Sannsynligheten for at du blir utsatt for "Social Engineering" er stor. Dvs noen som prøver å lure deg til å oppgi passordet ditt.
- Passord skal byttes regelmessig. Et problem er å komme på passord, noe helt annet er å vite hvordan en faktisk kan få utført skiftet. Enhver virksomhet/bedrift/institusjon bør ha en sikkerhetspolicy og/eller veiledere som forklarer hva som må til for å bytte passord på for eksempel e-post, ansatt-PC, felles dataområder, nøkkelkort og liknende. I tillegg har du mange egendefinerte steder hvor du bruker passord. Det kan være lurt å notere seg disse stedene, og fremgangsmåte for å bytte (hvis det er vanskelig å huske). Prøv å skrive slike ting på en slik måte at ikke uvedkommende forstår informasjonen.
- Hvor skriver du inn passordet ditt (i hvilke systemer)? Har du klikket på en lenke i en e-post eller på en hjemmeside du ikke kan si 100% at du vil stole på? Du kan bli utsatt for phishing, en form for "Social Engineering" hvor noen prøver å lure deg til et falskt nettsted. Den som har laget det falske nettstedet ønsker å "fiske til seg" passord og opplysninger som han/hun egentlig ikke skal ha. Dersom du prøver å logge inn på det falske nettstedet (i god tro), vil personen som lagde det falske nettstedet ha mottatt denne informasjonen og vil kunne bruke den på det ekte nettstedet, og slik klare å logge inn, identifisert som deg. Fiskes ditt e-postpassord opp, kan den andre lese e-posten din. Fiskes ditt nettbank-passord opp, kan du tape penger. Phishing er ekstra skummelt dersom du bruker det samme passordet ditt flere steder. I så fall kan "en uskyldig surfetur (du klikker på lenke i phishing-angreps-e-post) ende i en stor fisketur hvor angriperen får notet fullt av mange fisker".
Mer om passord
Jeg har laget en liten passordgenerator i programmeringsspråket PHP hvor du kan få generert forslag til et passord ved å skrive inn navnet ditt. Ikke verdens beste løsning, men småmorsomt. Det er for øvrig ikke noe hemmelig som skjer bak kulissene, ingen loggføring og ingen lagring av det som skrives inn, så det er bare å leke seg!
Hvis du lurer på hvor sterkt et passord er, så kan du teste det hos svenske Post og Telestyrelsen (PTS). Merk: SSL brukes i det du skal skrive inn selve passordet ditt. Du kan dermed være trygg på at ingen avlytter linjen og snapper opp de passord du vil analysere. Vær kritisk ved bruk av slike webbaserte verktøy, fordi det kan jo være "slemme" personer som har laget tjenesten og bare ønsker å snappe opp alle passord som skrives inn. PTS i Sverige er nok en rimelig seriøs og trygg aktør.
Hvilken strategi bruker du for å lage passord?
Noe som jeg synes fungerer glimrende, er å ha en enkel kryptering på passordene. Da har man unike passord for hver side som samtidig er veldig lett å huske.
SvarSlettFor eksempel første stavelse:
hotmail.com -> Hot5stavanger...
Gmail.com -> G5stavanger...
somethingawful.com -> Something5stavanger...
Eller første bokstav, bokstav nr. 1&3, bokstaven i alfabetet etter første bokstav og så videre.
Problemet som du skriver om at folk oppgir passordet sitt for et godt ord mener jeg er det største problemet. Som IT Manager i Atea kan jeg love deg at jeg får de fleste til å røpe passordet sitt til meg dersom jeg ber om det selv om jeg i det uendelige har messet om at de ALDRI skal oppgi passordet sitt til noen. Og det er kun fordi de stoler på meg. Naturlig nok... Og selv om passordet er røpet, tror jeg de færreste endrer passordet før de blir bedt om det gjennom policy'en i AD.
SvarSlettNår det gjelder passord på nettet bruker nok også de fleste samme passord overalt. Det var uansett flotte tips og jeg kommer til å lenke til deg på intranettet vårt for å øke bevisstheten rundt passord i vår organisasjon.
@Socraton: Det eneste en må passe på da, er hvis passordet blir knekket ett sted, for da vil en kunne forstå mønsteret, men ellers enig i at dette er en smart teknikk!
SvarSlett@Wilhelm: Interessant å høre at social engineering faktisk er så lett å gjennomføre i praksis, men jeg tviler ikke et sekund. Bare hyggelig om du lenker videre!