P\u00e5 trods af mange fors\u00f8g p\u00e5 at erstatte dem er adgangskoder fortsat den mest udbredte m\u00e5de at bevise, hvem man er, p\u00e5 nettet. De fleste af os har konti i snesevis af tjenester, og hver enkelt af dem hviler p\u00e5, at kun den rette person kender det rette kodeord. Netop fordi adgangskoden ofte er den eneste barriere mellem en fremmed og dine private oplysninger, er det v\u00e6rd at forst\u00e5, hvad der g\u00f8r et kodeord st\u00e6rkt, og hvordan tjenester b\u00f8r opbevare det.<\/p>\n
En udbredt misforst\u00e5else er, at et godt kodeord f\u00f8rst og fremmest skal v\u00e6re indviklet, fuldt af tegns\u00e6tning og store bogstaver. Virkeligheden er mere nuanceret. Det, der i praksis afg\u00f8r, hvor sv\u00e6rt et kodeord er at g\u00e6tte, er ikke s\u00e5 meget hvor besynderligt det ser ud, men hvor mange mulige kombinationer en angriber skal igennem for at finde det.<\/p>\n
N\u00e5r en angriber fors\u00f8ger at kn\u00e6kke et kodeord, sker det ofte ved at pr\u00f8ve enorme m\u00e6ngder muligheder af automatisk. Modstandskraften mod den slags afh\u00e6nger af, hvor stort rummet af mulige kodeord er. Og her vejer l\u00e6ngde tungere end nogen anden faktor.<\/p>\n
Et kort kodeord med mange forskellige tegntyper kan se sikkert ud, men har i virkeligheden ret f\u00e5 kombinationer, fordi det er kort. Et langt kodeord, selv med almindelige bogstaver, har derimod astronomisk mange muligheder, simpelthen fordi hvert ekstra tegn ganger antallet af kombinationer op. Hver gang du tilf\u00f8jer et tegn, bliver kodeordet markant sv\u00e6rere at g\u00e6tte, og effekten af l\u00e6ngde l\u00f8ber hurtigt fra effekten af at tilf\u00f8je s\u00e6re symboler.<\/p>\n
Det er baggrunden for, at mange sikkerhedsfolk anbefaler s\u00e5kaldte adgangss\u00e6tninger frem for kodeord. En adgangss\u00e6tning er en r\u00e6kke tilf\u00e6ldigt valgte ord, for eksempel fire eller fem ord uden indbyrdes sammenh\u00e6ng. Den er lang og dermed sv\u00e6r at kn\u00e6kke, men samtidig nemmere at huske end en kort streng af tilf\u00e6ldige tegn. Det vigtige er, at ordene er valgt tilf\u00e6ldigt og ikke udg\u00f8r et citat eller en kendt frase, for det, der kan g\u00e6ttes ud fra sprog og almen viden, giver ingen reel beskyttelse.<\/p>\n
Nogle f\u00e5 faldgruber er v\u00e6rd at n\u00e6vne. Et langt kodeord, der bygger p\u00e5 personlige oplysninger som navne, f\u00f8dselsdatoer eller dit fodboldhold, er stadig svagt, fordi en angriber, der kender lidt til dig, kan g\u00e6tte det. Det samme g\u00e6lder forudsigelige m\u00f8nstre p\u00e5 tastaturet og almindelige udskiftninger, hvor et bogstav byttes ud med et lignende tal. Tilf\u00e6ldighed og l\u00e6ngde g\u00e5r h\u00e5nd i h\u00e5nd.<\/p>\n
Selv det st\u00e6rkeste kodeord mister sin v\u00e6rdi, hvis du bruger det flere steder. N\u00e5r en tjeneste bliver brudt, og dens kodeord l\u00e6kker, pr\u00f8ver angribere de samme kombinationer p\u00e5 alle mulige andre tjenester. Bruger du det samme kodeord overalt, kan \u00e9t enkelt l\u00e6k \u00e5bne alle dine konti p\u00e5 \u00e9n gang. Dette er n\u00e6rt forbundet med emnet datal\u00e6k<\/a>, hvor netop genbrug er den faktor, der g\u00f8r et brud hos \u00e9n virksomhed til et problem mange andre steder.<\/p>\n Idealet er derfor enkelt at formulere, men sv\u00e6rt at efterleve manuelt: et unikt og langt kodeord til hver eneste tjeneste. Ingen kan huske hundredvis af s\u00e5danne kodeord, og det er pr\u00e6cis her, en kodeordsmanager kommer ind.<\/p>\n For at forst\u00e5, hvorfor visse l\u00e6k er v\u00e6rre end andre, hj\u00e6lper det at vide, hvordan en ansvarlig tjeneste h\u00e5ndterer adgangskoder bag kulisserne. En veldrevet tjeneste gemmer aldrig dit kodeord, som du indtastede det. At opbevare kodeord i klartekst betyder, at enhver, der f\u00e5r fat i databasen, \u00f8jeblikkeligt kender alle brugeres kodeord. Det er en grundl\u00e6ggende fejl.<\/p>\n I stedet gemmer tjenesten et hash af kodeordet. En hashfunktion omdanner kodeordet til en streng af fast l\u00e6ngde, og den proces kan i praksis ikke vendes om: man kan ikke regne bagl\u00e6ns fra hashet til det oprindelige kodeord. N\u00e5r du logger ind, beregner tjenesten hashet af det, du indtaster, og sammenligner med det gemte hash. P\u00e5 den m\u00e5de beh\u00f8ver tjenesten aldrig at kende dit egentlige kodeord. Selve hashfunktionerne, og hvorfor de ikke kan vendes om, behandles n\u00e6rmere i afsnittet om kryptografi<\/a>.<\/p>\n Hashing alene er dog ikke nok. To brugere med det samme kodeord ville ellers f\u00e5 det samme hash, og angribere kunne bruge forberegnede tabeller til hurtigt at sl\u00e5 almindelige kodeord op. L\u00f8sningen er en salt: en tilf\u00e6ldig v\u00e6rdi, der er unik for hver bruger og blandes ind i kodeordet, f\u00f8r det hashes. Saltet sikrer, at to ens kodeord giver to forskellige hash, og at de forberegnede tabeller bliver ubrugelige.<\/p>\n Endelig bruger gode systemer bevidst langsomme hashfunktioner, der er designet til kodeord. En almindelig hashfunktion er hurtig, hvilket er en ulempe her, fordi det ogs\u00e5 g\u00f8r det hurtigt for en angriber at pr\u00f8ve milliarder af g\u00e6t. Specialiserede kodeordsfunktioner g\u00f8r hvert g\u00e6t beregningsm\u00e6ssigt tungt, s\u00e5 et angreb mod en l\u00e6kket database bliver langsomt og dyrt. Tilsammen betyder salt og en langsom hashfunktion, at selv et brud ikke umiddelbart afsl\u00f8rer brugernes kodeord, i hvert fald ikke de st\u00e6rke af dem.<\/p>\n En kodeordsmanager er et program, der genererer, gemmer og udfylder kodeord for dig. Den gemmer alle dine kodeord i en krypteret hv\u00e6lving, som du l\u00e5ser op med \u00e9t enkelt hovedkodeord. Du beh\u00f8ver derfor kun at huske det ene, st\u00e6rke hovedkodeord, mens manageren tager sig af resten.<\/p>\n Fordelene er flere. Manageren kan oprette lange, helt tilf\u00e6ldige kodeord, som hverken du eller en angriber kan g\u00e6tte, og den kan have et unikt kodeord til hver tjeneste uden at du skal huske dem. Mange managere advarer desuden, hvis et af dine kodeord er svagt, genbrugt eller dukker op i et kendt l\u00e6k. Og fordi manageren typisk kun udfylder kodeordet p\u00e5 den rigtige hjemmeside, yder den en vis beskyttelse mod phishing: st\u00e5r du p\u00e5 en falsk side, vil manageren som regel ikke genkende den og dermed ikke tilbyde at udfylde noget.<\/p>\n Hovedkodeordet bliver naturligvis det vigtigste kodeord, du har, og det fortjener at v\u00e6re langt og helt unikt. En god adgangss\u00e6tning egner sig fint til form\u00e5let. Det er ogs\u00e5 klogt at beskytte selve manageren med totrinsbekr\u00e6ftelse, s\u00e5 hv\u00e6lvingen er sikret af mere end blot hovedkodeordet.<\/p>\n Totrinsbekr\u00e6ftelse, ofte forkortet 2FA, tilf\u00f8jer et ekstra led ud over kodeordet. Tanken er, at du skal bevise din identitet med noget, du ved (kodeordet), og noget, du har (typisk din telefon). Selv hvis nogen f\u00e5r fat i dit kodeord, kan de ikke logge ind uden ogs\u00e5 at have det andet trin.<\/p>\n Der findes flere former. En engangskode sendt p\u00e5 sms er bedre end ingenting, men ogs\u00e5 den svageste form, fordi sms kan opsnappes eller omdirigeres. En app, der genererer tidsbaserede engangskoder direkte p\u00e5 din enhed, er sikrere, fordi koden aldrig sendes over nettet. Den st\u00e6rkeste form er en fysisk sikkerhedsn\u00f8gle, en lille enhed du tilslutter eller holder op til telefonen. Sikkerhedsn\u00f8gler er s\u00e6rligt modstandsdygtige over for phishing, fordi de teknisk er bundet til den \u00e6gte hjemmesides adresse og ikke kan narres til at godkende en falsk side.<\/p>\n Uanset hvilken form du v\u00e6lger, er det vigtigste at sl\u00e5 totrinsbekr\u00e6ftelse til p\u00e5 dine vigtigste konti. Din e-mail b\u00f8r st\u00e5 \u00f8verst, fordi den ofte kan bruges til at nulstille adgang til alt andet, efterfulgt af netbank og andre tjenester med f\u00f8lsomme oplysninger.<\/p>\n God kodeordssikkerhed kan koges ned til nogle f\u00e5 principper. G\u00f8r dine kodeord lange, gerne som tilf\u00e6ldige adgangss\u00e6tninger, og priorit\u00e9r l\u00e6ngde over indviklede tegn. Brug et unikt kodeord til hver tjeneste, s\u00e5 et enkelt l\u00e6k ikke v\u00e6lter resten. Lad en kodeordsmanager generere og huske dem for dig, og beskyt selve manageren godt. Og sl\u00e5 totrinsbekr\u00e6ftelse til, i det mindste p\u00e5 din e-mail og din bank. Det er, hvad tjenesterne ikke kan g\u00f8re for dig, men som tilsammen g\u00f8r dine konti til et sv\u00e6rt m\u00e5l.<\/p>\nHvordan tjenester b\u00f8r opbevare dit kodeord<\/h2>\n
Kodeordsmanagere<\/h2>\n
Totrinsbekr\u00e6ftelse<\/h2>\n
Det vigtigste at huske<\/h2>\n