Hvorfor passord fortsatt betyr så mye
Passordet er den eldste og mest utbredte måten å bevise hvem du er på nett. Til tross for at det finnes nyere alternativer, er passord fortsatt det første forsvaret for de aller fleste kontoer du har. Et godt passord, kombinert med riktig oppsett, holder uvedkommende ute. Et dårlig passord er en åpen dør. Forskjellen mellom de to handler ikke om flaks, men om noen prinsipper som er enkle å forstå når man først ser logikken bak dem.
Denne artikkelen forklarer hva som faktisk gjør et passord sterkt, hvorfor lengde betyr mer enn kompliserte tegn, hvordan tjenester bør lagre passordene dine, og hvorfor en passordbehandler kombinert med tofaktorautentisering gjør hverdagen både tryggere og enklere på én gang.
Hva gjør et passord sterkt?
Det avgjørende for hvor sterkt et passord er, handler om hvor vanskelig det er å gjette, enten for et menneske eller for et program som prøver enormt mange kombinasjoner i sekundet. Et angrep som systematisk tester mulige passord, kalles ofte et råstyrkeangrep. Jo flere mulige kombinasjoner et passord kan være, desto lengre tid tar et slikt angrep, og desto sterkere er passordet.
Lengde slår kompleksitet
Her er det viktigste poenget, og det overrasker mange: lengde betyr mer enn kompliserte tegn. Hvert ekstra tegn i et passord øker antallet mulige kombinasjoner dramatisk. Et kort passord med store og små bokstaver, tall og spesialtegn kan faktisk være lettere å knekke enn et langt passord som bare består av vanlige ord.
Grunnen er at den samlede styrken vokser mye raskere med lengde enn med variasjon. Et passord på åtte tegn har et begrenset antall muligheter uansett hvor mange tegntyper du blander inn. Et passord på tjue tegn har så mange muligheter at et råstyrkeangrep blir urealistisk, selv om det bare består av små bokstaver. Derfor er en passfrase, altså flere tilfeldige ord satt sammen til en lang setning, ofte både sterkere og lettere å huske enn et kort kaos av tegn.
Tilfeldighet er nøkkelen
Lengde hjelper bare hvis passordet faktisk er uforutsigbart. Angripere bruker ikke bare ren råstyrke. De bruker ordlister, vanlige passord, kjente mønstre og opplysninger om deg. Et langt passord som er forutsigbart, for eksempel et kjent sitat, et navn etterfulgt av et fødselsår eller en enkel rekke som tastaturmønstre, er ikke trygt selv om det er langt. Den virkelige styrken kommer av at passordet er både langt og tilfeldig. Nettopp derfor er det vanskelig for et menneske å lage gode passord på egen hånd, og enda vanskeligere å huske dem.
Aldri gjenbruk
Selv et perfekt passord blir en svakhet hvis du bruker det flere steder. Lekker det ett sted, kan angripere prøve den samme kombinasjonen av e-post og passord mot mange andre tjenester. Dette er en av de vanligste måtene kontoer kapres på, og det forklares nærmere i artikkelen om datalekkasjer. Regelen er enkel: hvert nettsted skal ha sitt eget, unike passord.
Hvorfor tjenester hasher og salter passord
Når du oppretter en konto, skjer det noe viktig i bakgrunnen som du ikke ser. En seriøs tjeneste lagrer ikke passordet ditt slik du skrev det. Å lagre passord i klartekst er en alvorlig feil, fordi alle som får tak i databasen, da kan lese passordene direkte. I stedet lagrer tjenesten et avtrykk av passordet, laget med en kryptografisk hashfunksjon.
Hva hashing innebærer
En hashfunksjon tar passordet ditt og regner ut en verdi med fast lengde som ikke lar seg regne baklengs til det opprinnelige passordet. Når du senere logger inn, kjøres passordet du oppgir gjennom samme funksjon, og resultatet sammenlignes med det lagrede avtrykket. Stemmer de, slipper du inn. Tjenesten kan altså bekrefte at du kan passordet, uten selv å oppbevare det i lesbar form. Hashing er et eget tema, og fundamentet bak det er beskrevet nærmere i delen om kryptografi.
Hvorfor salt er nødvendig
Hashing alene er ikke nok. Problemet er at det samme passordet alltid gir det samme avtrykket. Angripere kan derfor lage store forhåndsberegnede tabeller med vanlige passord og deres hasher, og slå opp i dem for å finne treff. For å hindre dette legger tjenesten til en tilfeldig verdi, kalt salt, før passordet hashes. Saltet er unikt for hver bruker. Det gjør at to personer med samme passord likevel får helt ulike avtrykk, og det gjør forhåndsberegnede tabeller ubrukelige, fordi angriperen måtte laget en egen tabell for hvert eneste salt.
Bevisst trege funksjoner
Til passordlagring bruker gode tjenester spesialiserte funksjoner som er laget for å være bevisst trege. Det høres rart ut å ville ha noe tregt, men poenget er forsvar. For deg som logger inn én gang, spiller noen brøkdeler av et sekund ingen rolle. For en angriper som prøver milliarder av gjetninger, blir hver gjetning så dyr at angrepet bremses kraftig. Kombinasjonen av salt og en bevisst treg funksjon er det som gjør at selv en lekket passorddatabase ikke nødvendigvis betyr at passordene umiddelbart er tapt.
Som bruker styrer du ikke hvordan en tjeneste lagrer passordet ditt. Men det er nyttig å forstå at sikkerheten din delvis avhenger av valg tjenesten tar i bakgrunnen, og at et sterkt, unikt passord beskytter deg selv om tjenestens lagring ikke skulle være på topp.
Passordbehandlere
Når rådene er at hvert passord skal være langt, tilfeldig og unikt, blir det fort umulig å huske dem. Ingen klarer å holde styr på dusinvis av lange, tilfeldige passord i hodet. Løsningen er en passordbehandler, og den løser problemet så godt at den er det enkeltverktøyet som har størst effekt på passordsikkerheten din.
En passordbehandler er et program som lagrer alle passordene dine i et kryptert hvelv. Den kan lage nye, lange og tilfeldige passord for deg, fylle dem inn automatisk når du logger inn, og synkronisere dem mellom enhetene dine. Du trenger bare å huske ett eneste passord: hovedpassordet som låser opp hvelvet. Alt det andre overlater du til programmet.
Fordelene er flere. Du får sterke, unike passord overalt uten å måtte finne på dem selv. Du slipper å gjenbruke passord, fordi det ikke lenger koster deg noe å ha et nytt per tjeneste. Mange passordbehandlere fyller dessuten bare inn passordet på det riktige nettstedet, noe som gir en innebygd beskyttelse mot phishing: forsøker et forfalsket nettsted å lure deg, vil behandleren ikke kjenne igjen adressen og lar være å fylle inn.
Det viktigste når du bruker en passordbehandler, er at hovedpassordet er sterkt, gjerne en lang passfrase, og at du beskytter selve behandleren med tofaktorautentisering. Dette ene passordet låser jo opp alt det andre, så det fortjener ekstra omtanke. Til gjengjeld er det det eneste du trenger å huske.
Tofaktorautentisering
Selv det beste passordet kan lekke. Tofaktorautentisering, ofte kalt 2FA, gir et ekstra lag som gjør at et lekket passord ikke er nok til å komme inn. Idéen er å kreve to ulike typer bevis: noe du vet, altså passordet, og noe du har, for eksempel telefonen din eller en fysisk sikkerhetsnøkkel.
I praksis betyr det at du etter å ha skrevet inn passordet også må bekrefte med en annen faktor. Det finnes flere varianter. En kode fra en autentiseringsapp på telefonen er et godt og vanlig valg. En fysisk sikkerhetsnøkkel regnes som enda sterkere, blant annet fordi den er motstandsdyktig mot phishing. Koder sendt på SMS er bedre enn ingenting, men regnes som den svakeste varianten, fordi de i visse tilfeller kan fanges opp eller omdirigeres.
Effekten er stor. En angriper som har fått tak i passordet ditt gjennom en lekkasje eller et phishing-forsøk, står likevel uten den andre faktoren og kommer ikke inn. Derfor er anbefalingen tydelig: slå på tofaktorautentisering overalt der det tilbys, og prioriter de viktigste kontoene først, særlig e-post og bank. E-postkontoen er ekstra kritisk, fordi den ofte brukes til å tilbakestille passord på alle andre tjenester. Faller den, faller mye annet med den.
Det enkle oppsettet som dekker det meste
Passordsikkerhet kan virke overveldende, men det koker ned til noen få vaner som henger sammen. Bruk en passordbehandler, og la den lage lange, tilfeldige og unike passord til hver tjeneste. Beskytt selve behandleren med en sterk passfrase og tofaktorautentisering. Slå på tofaktor på alle viktige kontoer ellers. Med dette på plass har du dekket det aller meste av risikoen, og du har gjort hverdagen enklere på kjøpet, fordi du ikke lenger trenger å huske noe annet enn det ene hovedpassordet.
