Single sign-on til Internett! Pliiis!

Påloggingsvindu
Kilde: www.idg.no

“…og noen har til og med samme passord til nettbanken som på facebook!” …sier sikkerhetsekspertene og himler med øynene. Jeg også. Vi gjentar til det kjedsommelige at man må velge gode passord, ha forskjellige passord til forskjellige nettsteder og ikke skrive det ned. Lag huskeregler. Men teori og praksis er virkelig ikke det samme.

Joda, jeg har et sett av passord jeg bruker, jeg har unike jobbpassord og noen andre som jeg bruker på “mindre kritiske” nettsteder. Men det føles ikke bra likevel. Men hva skal man gjøre da? Det er komplett umulig å gjøre dette riktig! Velge bare unike passord, såkalte sterke; med store og små bokstaver, tall og tegn, lange. Som ikke ligner på kjente ord, som ikke gjenspeiler noe fra mitt liv (bilnummer, fødselsdatoer osv).

Det er ganske vanskelig, om ikke umulig, for mannen i gata å finne et passord som ikke lar seg knekke av heltidspassord-crackerne der ute.

Jeg kunne tenke meg at sikkerhetsbransjen kunne finne på en revolusjonerende ny løsning, som kan frita brukeren for det ansvaret det er å velge gode passord!

Men inntil det skjer, må vi bare forholde oss til passordregimet som hersker på nettet. Noen gode råd kan vi ta med oss på veien:

  • IT-systemene bør la brukere beholde passordene sine i lang tid, gjerne i flere år. Tvinges man til å bytte passord ofte, lager man seg mønstre, som for eksempel “Vaar2013”, “Sommer2013”, eller “Passord1”, “Passord2” osv.
  • Lengre passfraser er bedre enn passord med 8-10 tegn. Lag passfraser som du greier å huske – det er enklere å huske setninger enn kryptiske 8-tegnspassord.
  • Om du ikke greier å ha unike passord på alle mulige tjenester, skill iallfall mellom jobb og privat. Dersom EN passorddatabase hvor du er registrert hackes, unngår du iallfall at angriper sitter med påloggingsinformasjon om deg til alle mulige andre tjenester du også bruker på nettet. Det er ikke sikkert at den tjenesten som hackes er så veldig kritisk, men påloggingsinformasjonen din kan være det.
  • Passordhusketjenester er helt klart et stort skritt i riktig retning. Da kan vi endelig lage rekordlange unike passfraser til hvert nettsted, og så behøver vi bare å huske master-passordet – som selvsagt må være et godt, langt og sterkt passord. (Det er selvsagt svært uheldig om passorddatabasene til en slik tjeneste skulle bli hacket, men noen må vi bare velge å stole på…)
  • Skriv ned de viktigste passordene og pin-kodene dine. Legg dem et sted hvor det er mulig for dine nærmeste å finne dem dersom det skulle skje et eller annet med deg. Se filmsnutten Til ungdommen av Per Thorsheim om nettopp dette.

Per Thorsheim holdt et spennende foredrag på Dataforeningens konferanse Sikkerhet og sårbarhet 7.-8. mai om passord. Takk til Per for innspill til dette blogginnlegget!