Passord – korleis sikre dei digitale ressursane

Passord: 12345 eller Passord1. Dersom dette høyrest kjent ut bør du lese vidare. Det er viktig med sterke passord som sikrar dei digitale ressursane dine på ein god og effektiv måte.

• Nytt forskjellig passord på ulike tenester
• Ha ulike passord privat og på jobb
• Unngå å bruke namn på familiemedlemmar, namn på kjæledyr og merkedatoar i passordet
• Bruk totrinns autentisering der det er mogleg

Regnskap Norge har skrive ein artikkel: «Passord – til glede og besvær». Utdrag frå denne står under. Du kan lese heile artikkelen her.

RISIKOKLASSER

Det viktigste ved valg av passord er kanskje å ikke bruke samme passord på alle tjenester på nettet. Eksponeres passordet på ett sted, er alle andre steder også eksponert. Vi er jo ofte på kjente plattformer, så her kan hackerne bare prøve seg frem med det passordet de har fått tak i.

Det er også viktig å ikke bruke samme passord privat og på jobb. Selv synes jeg det er greit å klassifisere ressurser på nettet i risikoklasser, og utforme passordregler etter disse klassene.

Eksempler på risikoklasser er:

• Finansielle tjenester; nettbank, forsikringer, formuesforvaltere mv.
• Helsetjenester; offentlige og private
• Jobbrelaterte tjenester; Altinn, Skatteetaten, ERP-systemer, lønnssystemer, CRM, fagsystemer mv.
• Netthandel
• Sosiale medier
• Pålogginger som deles med andre familiemedlemmer; Netflix, Spotify, nettaviser mv
• Tilfeldige pålogginger på «engangstjenester» 

Eksponeres et passord du bruker på sosiale medier, kan skaden begrenses til denne gruppen tjenester, og ikke til andre viktigere grupper av tjenester.

Hvor avanserte passordene bygges opp påvirkes også av risikoklassene. Jeg ville benyttet unike passord på alle steder innen høyrisikoklasser, mens like passord kan være akseptabelt for lavrisikoklasser.

ANBEFALINGER TIL PASSORD

Hva med å ha «incorrect» som passord? Har du glemt passordet taster du inn noe tull. Så sier jo systemet «Your password is incorrect». Problem løst! Fra spøk til litt mer alvor; det å komponere et godt passord er ikke så intuitivt, og vi velger ofte samme type passord gang etter gang. Da er det godt med litt veiledning for å endre vaner. Per Thorsheim har 5 gode anbefalinger til passord:

1. Bruk lange passord – for eksempel en setning som gir mening for deg. «Sushi er alltid godt på lørdag» er lett å huske, men vanskelig å hacke på grunn av lengden og sammensetningen av tegn (ø, å og mellomrom).
2. Noter ned passordene du har. Jeg har selv 421 pålogginger per dags dato, og bruker derfor et passordsystem med et solid masterpassord for å få tilgang til alle andre passord. Alternativet er å skrive ned passordene og lagre dette hjemme. Passord bør ikke ligge i notat-appen på telefonen eller i skuffen på jobben.
3. Ikke bruk passord som er lett å gjette seg frem til. Dette kan være navn på medlemmer i familien, navn på kjæledyr, merkedatoer, 123456, Qwerty123 eller passord123. Lag heller setninger som gir mening for deg.
4. Bytt sjeldnere. Gode passord har lang levetid. Snakk med systemansvarlig hvis passord må byttes ofte.
5. Bruk totrinns autentisering hvor dette tilbys.  BankID for mobil er gull verdt og lett tilgjengelig for de fleste. Alternativt bruker leverandørene av online-tjenestene Microsoft Authenticator, Google Authenticator, OTP Auth, Authy eller SMS Passcode. Prinsippene som ligger bakt flerfaktor-autentisering er; noe man vet (for eksempel passord), noe man har (for eksempel mobil/bankkort/kodebrikke) eller noe man er (for eksempel fingeravtrykk). 

STANDARDISERING I UTAKT

NIST SP 800-63-3, som ble oppdatert senest 2017, setter standarden for passordoppbygging og passordadministrasjon internasjonalt. En av dem som førte denne i pennen angrer i dag på de anbefalingene som ble gitt. Spesielt temaet om høyfrekvente skifter av passord, typisk mellom 30-90 dager, som beviselig ikke har bidratt til økt sikkerhet.

Hvorfor er ikke hyppige passordskifter bra? Passord-ekspert Per Thorsheim fra Secure Practice påpeker at hyppige skifter kun skaper varianter av favorittpassordet – noe som fremdeles er lett å knekke. Thorsheim anbefaler at vi forkaster en del tidligere tanker rundt måter å bygge opp passord på. Overraskende for mange, men godt faglig begrunnet.

PASSORDSYSTEMER HJELPER

Nettlesere spør deg gjerne om nettleseren skal huske passordet for deg. Det er nok ikke helt lurt å bruke denne funksjonen da sikkerheten rundt dette kan være så som så. Da er det kanskje bedre å bruke anerkjente passordsystemer som 1Password, LastPass, Dashlane, RoboForm, Keeper eller Bitwarden. De kjører på mange plattformer; PCer, mobiler og nettbrett. De er sikre, effektive i bruk og blir fort din venn i hverdagen.