Viktige ting kan sjelden sies ofte nok. Lag gode passord og hold de for deg selv. Både dine personlige informasjonsverdier og din arbeidsgivers informasjonsverdier/aktiva er avhengig av dine passordvalg.
Arbeidsgiver og tjenestetilbydere som benytter passord for autentiseringsformål kan sette krav til passordlengde og kompleksitet. Tanken bak dette er at:
- Lange og komplekse passord er vanskelige å gjette
- Lange og vanskelige passord er vanskelige å knekke med verktøy
Men hjelper det? De fleste av oss ønsker oss passord som er lette å huske. Undersøkelser har vist at kompleksitetsregler (hvor man krever kombinasjon av tall, tegn og bokstaver) har ledet folk til å velge passord som likner på følgende: 1!Lesbarstamme, eller Lesbarstamme!1. Altså ofte et ord fra ordboken kombinert med tall og tegn lagt på foran eller slengt på til slutt. Siden noen arbeidsgivere krever at man endrer passord regelmessig og ikke gjenbruker tidligere passord, har kloke hoder funnet ut at det er går an å inkrementere tallet i passordet, altså at passord nummer to i rekken ser ut som følger: 2!Lesbarstamme. I praksis kan man ha samme passord år etter år (dette er ikke en anbefaling!)
Hackere har funnet ut av det samme – for lenge siden. Hvorfor gjøre uttømmende forsøk (brute force angrep) og teste ut alle mulige tegnkombinasjoner når man i stedet kan gjøre opplag i en ordliste og legge på noen kombinasjoner av tall og tegn til slutt? De dårligste passordene knekkes fort, og gir like god tilgang inn i personlige systemer og bedriftssystemer som de som er vanskelige å knekke. Angriperne går ofte etter det svakeste punktet.
Så hva kan man gjøre? Bryt de tradisjonelle handlingsmønstrene for passorvalg. Ønsker man et lesbart passord kan for eksempel tall og tegnkombinasjonen legges til midt i ordet, slik som Lesbar!1stamme. Enda bedre er det å lage seg passordsetninger for å få opp lengden på passordene, slik som: “Dette er bedre enn et vanlig passord!” Mange eldre systemer støtter dessverre ikke passordlengder som i sistnevnte tilfelle, og noen systemer takler ikke mellomrom. Kanskje er det på tide og skifte ut de systemene?
Så hva er budskapet? Tenk nytt og utradisjonelt når du lager passord. Det vil gjøre verktøyangrep mer ressurskrevende. Hold passordene for deg selv – ingen skal noen gang ha tilgang til dine personlige passord. Hva hjelper det det med komplekse og lange passord dersom man oppgir det til noen som er på phisketur?