Passordhygiene – på tide med en rundvask?

Jeg var på butikken her om dagen og handlet melk og brød. Da jeg kom til kassen satte jeg inn bankkortet og skulle til å taste inn koden. Ekspeditøren ser meg og sier «Femtiseks femti». Det gikk kaldt nedover ryggen på meg. Hvordan visste denne personen PIN-koden til kortet mitt? Det tok noen sekunder før jeg skjønte at sluttsummen på kassalappen tilfeldigvis var det samme som PIN-koden min. Hva er oddsen? Et slumpetreff. Jeg tenker likevel det er på tide å bytte PIN-kode på kortet. Jeg har hatt samme kode i 10 år.

Det fikk meg også til å tenke på passordene jeg bruker på nettet. Når hadde jeg sist en vårrengjøring, og byttet ut gamle med nye? Holder det med litt støvtørking – legge til et ! på passordet jeg allerede har? – eller må det sterkere lut til? Et syrebad, kan hende?

Kan jeg gjette passordet ditt?

Datteren din har bursdag. Stolt legger du ut bilde på Facebook, med teksten «Gratulerer med 7-årsdagen til verdens beste Marianne!» Du har kanskje ikke de strengeste personverninnstillingene på Facebook, så når en felles venn av oss trykker på «Liker»-knappen, dukker det opp i min nyhetsfeed. Intetanende har du nettopp publisert passordet ditt på Facebook – passordet du bruker til alt, både privat og på jobb.

For hvis datteren din heter Marianne og er født i 2011, er – dessverre! – sjansen overhengende for at passordet ditt er Marianne2011. Det vil si, hvis du har tatt deg bryet med å endre passord siden 1997, da du for første gang logget deg på Internett, og ikke fortsatt bruker passord eller 123456 … (Disse er de to mest brukte passordene på Internett i dag!)

Eller, kanskje du har kommet lengre enn mange, og har forskjellige passord på jobb og privaten. Du er webredaktør, og har brukernavn og passord du bruker til å logge på bedriftens nettside for å publisere innhold. Bedriften du jobber for heter Eksempel AS, og har nettside på eksempel.no. Tør jeg gjette på brukernavn og passord? Brukernavnet ditt er i verste fall «eksempel», og i beste fall «ditt.navn@eksempel.no». Og passordet er – grøss!Eksempel2018.

Nettsiden til bedriften, som har kostet hundretusenvis av kroner og utallige dagsverk, ligger åpen for hackere kun beskyttet av Eksempel2018 …! Forhåpentligvis er det bare noen tusen linjer tekst og et par hundre bilder som går tapt i hackingen. For bedriften din har ikke nettbutikk på nettsiden, med ordre- og kundedatabase? Ingen sensitive eller driftskritiske data? Hørte jeg noen hviske GDPR, med spak røst?

Dette er ikke overdrivelser eller hvasse spissformuleringer, dessverre. Dette er helt konkrete (dog anonymiserte og/eller karikerte) eksempler; dette er realiteten.

Å gjette passord er den enkleste formen for hacking, ifølge Mat Honan i artikkelen Kill the Password: A String of Characters Won’t Protect You (Wired, november 2012). En annen metode er brute force; gi en datamaskin ubegrenset antall forsøk, og lang nok tid, og den vil til slutt knekke passordet ditt. Mer om dette, og hvordan du kan motarbeide det, senere. Jeg sier «motarbeide», for det finnes ingen motgift mot brute force – vi kan kun gjøre det vanskeligere å knekke passord (begrense antall forsøk, øke entropi, bytte passord ofte, to-faktor-autentisering).

Artikkelen til Honan er forøvrig anbefalt, og skremmende, lesning.

Forskjellige passord for forskjellige tjenester

Har du samme passord på alt? Samme passord på e-posten som på Facebook og Twitter, på Amazon og Netflix, på Steam, Digipost, PayPal, Norsk Tipping, Instagram, LinkedIn, HBO Nordic, Spotify, MySpace, Adobe, Møteplassen, og alle de andre dyrene i Hakkebakkeskogen?

Du er ikke alene – dette er vanlig praksis hos de aller fleste. Fordi passord skal være komplekse, og vi har problemer med å huske mer enn ett eller to av dem, gjenbruker de fleste av oss samme passord på de fleste tjenestene vi registrerer oss på.

Men å bruke samme passord overalt er omtrent den største passord-synden du kan begå. Blir én av disse tjenestene kompromittert har hackerne potensielt tilgang til hele ditt online-liv.

I 2012 ble både Dropbox og LinkedIn hacket. Dataene, millioner av brukernavn og passord, ble solgt på det mørke nettet. I 2016 kom det fram at for Dropbox hadde 68 millioner brukernavn og passord havnet på avveie, mens 164 millioner LinkedIn-brukere hadde fått sine brukernavn og passord eksponert. Dropbox tvangsendret passordet til brukere de mente var utsatt – men først i 2016. Dette er kun et par eksempler; listen over store aktører som har blitt hacket er lang og vond.

I mai 2017 ble det avdekket en database med over 560 millioner(!) lekkede brukernavn og passord, med over 243 millioner unike e-postadresser. En gjennomgang av 10.000 tilfeldige brukernavn/passord fra denne databasen, viste at 98 % av passordene hadde vært eksponert tidligere uten at eierne hadde byttet.

Er ditt passord på avveie?

Sikkerhetsekspert og -forsker Troy Hunt har laget nettsiden Have I Been Pwned? hvor du kan sjekke om ditt brukernavn er blitt kompromittert. Databasen er en søkbar samling av alle «datadumper» med passord som har blitt eksponert i store hacks. Søket avdekker om dine passord har blitt eksponert, uten å vise dem. Dukker din e-post eller ditt brukernavn opp her, bør du endre passord snarest!

35wN79Ps er ikke et sterkt passord!

Passordet ditt er et sverd. Det er ment å beskytte dine data. For å gjøre dét, må det være skarpt. Et sløvt sverd beskytter ingenting. Men det må ikke være så skarpt at det kutter av deg fingrene når du skal bruke det.

Tjenesteleverandørene inngår et kompromiss; de gjør passordet til et tveegget sverd, som er skarpt på den ene siden og sløvt på den andre. I omvendt prioritert rekkefølge ønsker de:

  1. Høyest mulig sikkerhet; de lover jo tross alt å beskytte dataene dine etter beste evne (skarpt sverd)
  2. Minst mulig friksjon; de vil ha deg som bruker/kunde (ingen avkuttede fingre)

Derfor lar de deg bruke e-postadressen din som brukernavn (dette er nå allment akseptert praksis; det er lett å huske!) og prøver å få deg til å bruke et passord som blir vurdert som «sterkt» – og hvis oppfylt anser de begge punktene over som innfridd.

Det få eller ingen av dem gjør, er å sjekke passordet du velger opp mot en database av lekkede/hackede passord som, hvis passordet er eksponert tidligere, de burde nekte deg å bruke (og kanskje til og med advare deg!). Du får derfor fint bruke passordet du brukte på LinkedIn i 2011, og som i verste fall har vært kompromittert og assosiert med din e-postadresse i snart 7 år. (For vi bruker samme e-postadresse overalt, ikke sant?) Å gjøre dette bryter med punkt 2 – du kan bli frustrert og dumpe dem før du har fullført registreringen.

Noen tjenesteleverandører tar sikkerheten litt mer på alvor, og tvinger deg til å velge et såkalt «sterkt» passord. Det skal gjerne være en blanding av tall og bokstaver, og inneholde minst én stor bokstav – og kanskje et spesialtegn. Dette øker friksjonen, men samtidig sikkerheten.

Et typisk «sterkt» passord kan se slik ut: 35wN79Ps

Det er innenfor hva du kan klare å lære deg utenat. Kanskje du klarer to slike, men da begynner vi å pushe grensen? Men hvor sterkt er det, egentlig? Det er flere måter å beregne passordstyrke. Én av metodene er entropi; hvor lang tid vil en datamaskin bruke på å knekke det med brute force. Passordet over har en teoretisk entropi på mellom 2 timer til 12 dager! En kraftig datamaskin vil teoretisk kunne knekke det på 2 timer, mens en vanlig hjemme-PC kan klare det på 12 dager, gitt ubegrenset antall forsøk.

Mammas pikenavn er Euphegenia

Å legge inn svar på sikkerhetsspørsmål (f.eks. «Hva var din første bil?» eller «Hva var din mors pikenavn?») er et forsøk på å øke sikkerheten rundt passord. Men ofte blir effekten motsatt, når svarene kan være lett tilgjengelig for uvedkommede. Honan anbefaler å oppgi falske svar på disse. Din første bil? Ligger på Instagram. Din mors pikenavn? Sannsynligvis mulig å finne på nettet. Kjæledyr? Jeg vet ikke hvor jeg skal starte!

Finn på falske svar, gjerne med en mental knagg som hjelper deg å huske. Jeg liker film, så jeg henter svarene mine fra:

  • Mammas pikenavn: Euphegenia (Mrs. Doubtfire)
  • Min første bil: DeLorean DMC-12 (Back to the Future)
  • Kjæledyr: Hippogriff (Harry Potter)

Så lenge du selv husker (de falske) svarene, trenger – og bør ikke! – svarene være hentet fra virkeligheten.

Jeg liker te med honning!

Jeg har så langt brukt hermetegn når jeg omtaler sterke passord. Det er fordi de slett ikke er så sterke som IT-sjefene vil ha oss til å tro. Et sterkt passord er langt. Eksemplet over er på 8 tegn. Det er vanskelig å gjette for et menneske, men ikke for en datamaskin. Et lengre passord, si dobbelt så langt, er langt verre; f.eks. wAK3H2vdwRYszT1W vil teoretisk ta 38 milliarder år å knekke. Dette må anses som sterkt (uten hermetegn) – men klarer du å huske det? Hva med to sånne?

For å sitere den udødelig nettserien xkcd:

Gjennom 20 års innsats har vi lykkes med å lære opp alle til å bruke passord som er vanskelig får mennesker å huske, men enkle for datamaskiner å gjette.

https://xkcd.com/936/

xkcd gir oss oppskriften på hvordan vi kan lage sterke (uten hermetegn) passord som er enklere å huske:

Hva med jegLikerTemedHonning! – det er enda sterkere enn wAK3H2vdwRYszT1W (hint: det er lengre), og vil ta 176 kvadrillioner år for en datamaskin å gjette. Bonus: det er faktisk mulig å huske for den menneskelige hjerne. Tilfeldige ord fra ordboken er faktisk mye bedre, enn en streng med tilfeldige bokstaver og tall. (Om IT-sjefen eller tjenesten krever at passord skal ha tall: jegL1kerT3medH0nning!

Så kan du bytte det ut etter et par måneder med:

  1. IheadbangtoHans0n? (18 kvadrillioner år)
  2. mammahar1Mazda. (34 millioner år)
  3. pappaFiskerLaks! (131 milliarder år)

Prøv selv: https://howsecureismypassword.net/

Ta disse utregningene med en klype salt. Det finnes forskjellige metoder for å beregne entropi, som vil gi forskjellige resultater. Prøv f.eks. også https://password.kaspersky.com/ Tommelfingerregel: Passord på 16 tegn, eller mer, er generelt å anse som sterke. Men med økt datakraft (Moores lov), må vi også øke entropien.

Obs! Skal du bruke tilfeldige ord fra ordboken, bruk flere! Det lengste ordet i ordboken, høyesterettsjustitiarius, er ikke sterkt, fordi det er ett ord og finnes søkbart tilgjengelig. Ordboktrikset fungerer best hvis du setter sammen flere tilfeldige ord, og da med 16 tegn eller flere (høy entropi).

Dobbelt-obs! Ja, Marianne2011Marianne2011 er langt (25 tegn), men har det opprinnelige passordet først havnet på avveie, blir det ikke dobbelt så sterkt – det blir dobbelt så svakt.

Bruk to-faktor-autentisering

To-faktor-autentisering er sikkerhetsavdelingens forsøk på å kvesse den sløve siden av sverdet. Det går ut på at du må «logge inn» to ganger (økt friksjon, men mye høyere sikkerhet) – du kjenner det bl.a. fra BankID – ved at tjenesten ber om:

  1. Noe du husker (passord)
  2. Noe du har (generert éngangskode på kodebrikke, mobil eller e-post)

Det du har har en innebygd entropi, slik at du får en ny kode hver gang som bare er gyldig i et kort interval, f.eks. Google Authenticator:

Bruk to-faktor-autentisering hos alle tjenester som tilbyr det.

Glem passordet

«Ok,» tenker du, «jeg skal ha forskjellige passord på alle tjenester. Men hvordan i alle dager har du tenkt at jeg skal klare å huske alle?»

Bruk en passord-manager. Det finnes flere, som fungerer på de fleste operativsystem. Tanken er at du samler dine passord for alle tjenester på ett sted, og får tilgang til dem med et masterpassord. Forhåpentligvis har passord-manageren også to-faktor-autentisering.

Så du har et masterpassord, jegLikerTemedHonning!, som er det eneste du trenger å huske, og som gir deg tilgang til alle dine øvrige passord. Disse kan være lange som vonde år, og så innfløkte som bare det, siden du ikke trenger å huske dem:

  • Gmail: f292a2fI40U#6Q1agq09136QQ
  • Facebook: aj66x2UmP64uW0U£89123wl9a5d7Ac0C32k
  • PayPal: 2721tM30753!9LsIrq297Tn8j
  • Netflix: C4j41699FoVE%1V4112N452mZ

Blir Netflix-kontoen din hacket eller phishet, er skaden begrenset.

Mange passord-managere har innebygde passord-generatorer, men du kan også bruke: https://strongpasswordgenerator.com/ Masterpassordet må selvsagt også være supersterkt, men samtidig mulig for deg å huske.

Bytt masterpassord med jevne mellomrom!

Behandle passordet ditt som du behandler tannbørsten; ikke del det med andre, og bytt det ut annenhver måned.

Er jeg trygg nå?

Ok, du har tatt i bruk en passord-manager med et sterkt masterpassord, du har endret til forskjellige passord på hver eneste tjeneste du er registrert på, og du har aktivert to-faktor-autentisering der det tilbys. Er du trygg nå?

Vel, som jeg sa innledningsvis, det finnes egentlig ingen motgift, så lenge vi fortsatt må bruke passord. Gitt nok tid, så knekker de. Men vi kan kjempe i mot, og gjøre det vanskeligere – og dét gjør vi best ved å ha sterke passord, som vi endrer ofte, og aldri gjenbruker samme passord på flere tjenester.

Leste du artikkelen til Mat Honan? Hvis ikke, anbefaler jeg at du gjør det nå: Kill the Password: A String of Characters Won’t Protect You Den er like relevant I dag som i 2012.

PS! Passord-managere er også sårbare, og er yndede hacker-mål; et google-søk på «password managers hacked» gir i skrivende stund over 1 millioner treff.

Ressurser:

Kilder:

  1. Kill the Password: A String of Characters Won’t Protect You (Wired)
  2. Over 560 Million Passwords Discovered in Anonymous Online Database (Gizmodo)
  3. Hackere kastet Geir ut av egen Netflix-konto (DinSide)
  4. 9 Popular Password Manager Apps Found Leaking Your Secrets (The Hacker News)
  5. Google-søk: «password managers hacked» (1.070.000 resultater)

 

Flere fra blogg