Hjem > Guider > En guide til bedre passordpraksis

En guide til bedre passordpraksis

av naldy
Guide til bedre passordpraksis

Er deler av passordet ditt ord fra ordlista, eller bruker du samme passord flere steder? Det kan straffe seg. I dette innlegget ser vi nærmere på hva som er en god passordpraksis, og hvordan du kan sikre deg fra at uvedkommende får tilgang til opplysningene dine.

Bruk av svake passord er et reelt problem. Verizon, et selskap som spesialiserer seg i data- og nettsikkerhet, understreket i en rapport for 2018 at så mye som 81% av alle hacker-relaterte angrep involverte svake eller stjålne passord.

I dag trenger vi et passord eller PIN-kode for nesten alt. De fleste av oss har så mange at vi ikke klarer å holde styr på dem alle. Det er heller ikke uvanlig at vi glemmer å oppdatere de, og når vi gjør det, er det vanskelig å komme på et passord vi klarer å huske.

Selv om mange av oss kan finne passord irriterende og ta de for gitt, er det viktig å huske hvorfor passord er viktige: Passord er ofte det første, og muligens eneste forsvar mot at uvedkommende får tilgang til våre opplysninger eller data.

Sikkerhetsanbefalinger for passord

Svake passord består ofte av et eller flere vanlige ord, og er lette å gjette seg til.

Her er noen tips for å velge et godt passord:

  • Bruk et nytt passord for hver tjeneste eller konto du har – Dersom du bruker det samme passordet på flere tjenester risikerer du at alle kontoer rammes om passordet blir kjent
  • Ikke bruk personlige navn, detaljer eller datoer som passord – Unngå å bruke en kombinasjon av ord eller bokstaver som venner eller bekjente lett kan gjette seg til
  • Bruk ulogiske stavelser eller ord – Unngå ord som du finner i ordlisten, uavhengig av språk. En måte å lage slike kombinasjoner på er å ta de første bokstavene til en setning, frase eller sang. For eksempel «Lisa gikk til skolen» blir «lgts», og kan være en del av et passordet
  • Miks i vei og stokk om rekkefølgen – Bruk en kombinasjon av små og store bokstaver, tall og spesielle karakterer som # $ & ^

Eksempler på sterke passord

Eksempel 1: j9v8S4b8JoZFe#+AEHSf
Eksempel 2: P4SP!b^F|t^#jnNb*A8a
Eksempel 3: TR;+XZ+B~F#klxY\GX7O

Sikkerhetsanbefalinger for brukernavn

Å velge et godt brukernavn er også en viktig del av en god passordpraksis. Brukernavnet er identiteten din på et nettsted, men av logiske årsaker er det ikke en fordel å velge kompliserte bokstav- og tallkombinasjoner i brukernavn.

Her er noen tips for å velge et godt brukernavn:

  • Velg noe som er lett å huske
  • Gjør det enkelt – Unngå å bruke for mange symboler eller kombinasjoner av små og store bokstaver
  • Ikke bruk personnummer eller fullt navn – Direkte identifiserbar informasjon er ikke anbefalt, og kan i verste fall bidra til at andre kan utgi seg for å være deg (ID tyveri)
  • Planlegg om du vil være helt eller delvis anonym – Hos mange nettsamfunn eller forum vil brukernavnet ditt vises offentlig – og kan ikke endres i ettertid

For WordPress vet vi at brukernavn som «admin» er mer utsatt for angrep enn andre. Derfor anbefaler vi at du i stedet velger et personlig brukernavn.

I dag er det mer og mer vanlig at e-postadressen benyttes som brukernavn. Det er en god praksis om tjenesten du registrerer deg hos støtter det.

Eksempler på gode brukernavn

Eksempel 1: stineol@domenenavn.com
Eksempel 2: knutpeter
Eksempel 3: mariesofie

Sikkerhetsanbefalinger du bør slutte å følge

Passordpraksisen har utviklet seg drastisk de siste årene, mye fordi det man praktiserte tidligere ikke fører til bedre sikkerhet, men snarere tvert imot.

Noen praksiser har man gått helt bort fra, det bør du også:

  • Lik sammensetning for alle passord – Det skader ikke å variere lengde eller selve sammensetningen av tall, bokstaver og spesialtegn
  • Si farvel til passordhint – Praksisen med passordhint fungerte aldri. Svært mange brukte et passordhint som var svært nær eller likt sitt egentlige passord
  • Glem sikkerhetsspørsmål – Praksisen med sikkerhetsspørsmål er ut. Spørsmål som «Hva er din mors pikenavn» eller «Hvor er du født» er lett for andre å gjette seg til

Unngå periodiske endringer uten grunn

En populær passordpraksis opp gjennom årene har vært å tvinge brukere til å endre passord periodisk, til eksempel hver 3. måned eller to ganger i året.

Nyere veiledning fra NIST (National Institute of Standards and Technology) anbefaler derimot å ikke bruke obligatoriske passordendringer.

En grunn til det er fordi brukere har en tendens til å forandre sine gamle passord, eller gjenta passord de har brukt tidligere.

En bedre praksis er å kreve sterkere passord i utgangspunktet, og bare oppfordre brukere til å endre passord dersom en potensiell trussel eller kompromiss oppstår.

Oppbevar passord trygt

Å holde styr på mange kompliserte passord kan fort bli vanskelig. Det er derfor helt obligatorisk å kunne lagre eller oppbevare passord et trygt sted.

  • Hold passordet ditt hemmelig – Ikke del passordet med andre
  • Passord som skrives ned – Bør låses inn og være utilgjengelig for andre til enhver tid, også venner og kolleger

For trygg oppbevaring av passord anbefaler vi at du bruker et passordverktøy, også kalt passord manager.

Passordverktøy hjelper deg

Passordverktøy eller passord manager er apper eller programmer som er laget for å hjelpe deg med å lage og ta vare på komplekse, og ikke minst lange, passord.

Et passordverktøy bidrar direkte til en bedre passordpraksis. Verktøyet gjør at man får samlet alle passord på et sted, og ikke lenger må skrive dem ned i en bok eller lagre de i et usikkert elektronisk format.

Når du bruker et passordverktøy blir vanligvis alle passord lagret i et arkiv eller en database. Denne fungerer som en elektronisk safe hvor innholdet krypteres og beskyttes av et hovedpassord bare du kjenner til.

Dermed vil du kun måtte huske et passord, og det er passordet til verktøyet som lagrer alle passordene dine.

I dag er det blitt mer vanlig å lagre passordarkivet i skyen, eller lokalt på datamaskinen. Passord kan synkroniseres for bruk mellom telefon, datamaskin og nettbrett.

Noen passordverktøy kan kommunisere og samarbeide med nettleseren din, slik at passord og brukernavn fylles ut automatisk når du ønsker å logge inn.

Ulempen med et passordverktøy er at det kan ta noe tid første gangen du setter det opp. Når du først er kommet i gang vil det derimot forenkle alt som har med brukernavn og passord å gjøre.

Velg et passordverktøy

Den beste passordpraksisen er å bruke et nytt passord for hver tjeneste du bruker på Internett. Imidlertid er det hverken sannsynlig (eller fornuftig) å prøve å huske så mange forskjellige passord.

Et passordverktøy blir derfor helt obligatorisk for å kunne holde oversikt.

I dag er det mange passordverktøy å velge mellom. Jeg personlig bruker KeePass, men det er nok ikke den mest brukervennlige.

Når du skal velge passordverktøy kan det være lurt å bruke noen minutter og prøve de, så kan du enklere velge den som passer best for deg.

De mest kjente passordverktøyene er:

Lastpass Passord Manager

Passord-angrep mer utbredt enn vi tror

Det er lett å tenke at et passord-angrep «skjer ikke meg». Sannheten er dessverre noe helt annet – nesten alle nettsted er utsatt for passord-angrep hver eneste dag.

Hvor god passordpraksis har du implementert for dine nettsted?

Hvor stort eller populært nettstedet ditt er, er av liten betydning. Sannsynligheten for at uvedkommende allerede har prøvd å få tilgang er stor.

Det er nemlig ikke bare nettsteder som gir potensielt kriminelle adgang til hemmelig informasjon eller økonomisk gevinst som er aktuelle mål.

For å ta nettsidene våre som et eksempel, er det ikke uvanlig at vi ser flere hundre forsøk fra uvedkommende som forsøker å logge inn i WordPress kontrollpanel – hver eneste dag!

WPBruiser - Blokkerte angrep

Grafikken ovenfor viser antall passord-angrep wpologi.no har blitt utsatt for i perioden 23. oktober til 19. november 2018. I hovedsak er angrepene utført av roboter med tilhørighet i Ukraina, Russland, Kina og USA.

Passordpraksis i WordPress

WordPress har hele tiden anbefalt administratorer å være bevisst på at alle brukere benytter seg av sterke passord. Passordpraksisen i WordPress har utviklet seg positivt de siste årene.

Versjon 3.7

I WordPress versjon 3.7 innførte utviklerne en styrke-indikator for passord. Indikatoren kommer til syne ved brukerregistrering, endring av passord eller ved å tilbakestille glemt passord.

Versjon 4.0

Når versjon 4.0 ble lansert i 2014, endret WordPress hvordan informasjonskapsler (cookies) for innloggede brukere ble håndtert. I motsetning til tidligere, blir nå alle spor slettet fra brukerens datamaskin og nettleser.

Versjon 4.3

I 2015 innførte utviklerne en egen passordgenerator i WordPress. Det er nå enklere for brukere å lage sterke og mer avanserte passord.

Versjon 5.0

I versjon 5 har WordPress gjort flere tiltak for å håndtere passord og autentisering bedre.

  • WordPress administrerer all informasjon relatert til autentisering på serversiden
  • Kjernen i WordPress har integrert kryptering av passord, og bedre beskyttelse mot brute force -angrep
  • Bedre system for brukere, roller og deres rettigheter
  • Begrenset tilgjengelighet for sensitiv informasjon, inkludert e-post adresser for de som skriver kommentarer

Utviklerne bak WordPress har forbedret sikkerheten i selve programvaren betraktelig, samtidig som de oppfordrer brukerne å ta smarte valg.

Aktiver to-faktor autentisering for WordPress

To-faktor autentisering er med på å øke sikkerheten betraktelig. Dette er noe du bør implementere der du kan.

To-faktor autentisering fungerer slik at i tillegg til brukernavn og passord, må brukerne bekrefte identiteten sin med til eks. en engangskode sendt til mobilen eller e-post.

Med to-faktor autentisering er det derfor ikke nok å kunne brukerens brukernavn og passord.

I Norge er det vanlig med to-faktor autentisering for å logge seg på nettbank eller andre offentlige tjenester. Den mest brukte metoden for disse er BankID og BankID for mobil.

Desverre er det slik at det er ikke alle tjenester på Internett som støtter BankID og BankID for mobil.

Imidlertid finnes det mange andre gode løsninger, som til eksempel Facebook sin løsning som sender en bekreftelsekode på e-post eller SMS.

Et mye brukt alternativ er Google Authenticator. Google Authenticator er en app som du installerer på mobilen og støttes av en rekke kjente tjenester.

Google Authenticator finnes til både Android og iPhone.

Les hvordan du kan aktivere to-faktor autentisering for WordPress med Google Authenticator.

Oppsummering

Svake eller stjålne passord er fremdeles den mest vanlige årsaken til av uvedkommende får tilgang til opplysningene våre. I dag er det ikke uvanlig at alle nettsted, store som små, utsettes for hyppige angrep.

Det er lurt å føre en god passordpraksis som bla. innebærer å bruke sterke passord som ikke noen kan gjette seg til.

Den beste passordpraksisen innebærer at du bruker et nytt passord for hver tjeneste du bruker på Internett. Det er imidlertid ikke sannsynlig eller fornuftig å prøve å huske så mange forskjellige passord..

Da bør du i stedet bruker et passordverktøy som lagrer alle passord på et trygt sted.

To-faktor autentisering er noe man bør aktivere for tjenester hvor sikkerheten er ekstra kritisk. Med to-faktor autentisering kan ikke noen logge inn på kontoen din selv med riktig brukernavn og passord.

Kanskje du liker

Skriv en kommentar

* Vennligst gjør deg kjent med vår personvernerklæring.

Vi benytter cookies for utvidet funksjonalitet, bedre nettleser-opplevelse, statistikk og målrettede annonser. OK Vis mer

LIKTE DU INNLEGGET?
MELD DEG PÅ NYHETSBREV
Send
Nyhetsbrev sendes ut ca. hver 3. måned.
Lukk