Derfor behøver du ikke 27 forskellige passwords

Passwords. Det moderne livs forbandelse. For at fejre denne plage, har helligdagsguderne endda givet os World Password Day den 4. maj, hvor tusindvis af mennesker samles online og lover at forbedre deres password vaner. Hvor mange af disse løfter tror du holder? Ifølge den såkaldte Verizon Data Breach Investigation Report fra 2017 er det ikke mange. Lidt over 50% af alle brud på datasikkerheden sidste år skyldtes enten stjålne eller svage passwords.

Tilfældigvis er d. 4 maj også Star Wars Day (May the 4th Be with You). Og selv om ingen af os ville have noget imod at have en elskelig droide til at bevogte vores passwords lige så loyalt som R2D2 bevogtede blue prints for Dødsstjernen, er realiteten, at vi er nødt til selv at passe på dem. Og det er efterhånden blevet så besværligt, at det ville kunne sende selveste Yoda over til den mørke side.

Tingenes nuværende tilstand

Ifølge en meningsmåling foretaget af Intel Security, har den gennemsnitlige person 27 separate online logins. Fra konti på sociale medier over bankforretninger til online shopping og forbrug - alle kræver et brugernavn og et password. Og hvis folk har en god password praksis, følger de disse anbefalede fremgangsmåder:

  • DO: Benyt et forskelligt password for hver konto.
  • DO: Benyt et langt password. Jo længere, jo bedre.
  • DO: Brug specialkarakterer, tal og versaler.
  • DO: Skift dine passwords ca. hver anden måned.
  • DO NOT: Skriv ikke dine passwords ned, hverken på papir eller elektronisk.
  • DO NOT: Del ikke passwords via SMS, e-mail eller chat.
  • DO NOT: Benyt ikke let identificerbar information, såsom fødselsdage eller et af dine børns navne.
  • DO NOT: Brug ikke et meget generelt password som fx 12345. (Det er den kombination en idiot ville bruge på sin bagage.)

At gøre alt dette på 27 forskellige logins er simpelthen praktisk umuligt. Faktisk har en Intel undersøgelse fundet ud af, at 37% af dem, der deltog i undersøgelsen, glemte et password mindst en gang om ugen. Og folk var så trætte af at jonglere med dusinvis af forskellige passwords, at 20% sagde, at de ville opgive sportskanalen på TV, hvis det betød, at de aldrig behøvede at huske et password til. 6% sagde, at de ville droppe pizza. PIZZA.

Når folk bliver så utilfredse og trætte af sikkerhed, er det meget sandsynligt, at de fleste brugere falder tilbage til de dårlige vaner: De skriver fx passwords ned i en notesbog eller et Google dokument eller bruger det samme password til flere forskellige logins. (En undersøgelse foretaget af National Institute of Standards and Technology bekræfter dette: 91% af deltagerne tilstod, at de genbrugte passwords.)

Det er derfor vi siger: Stop det. Stop de dårlige vaner, ja, men stop også de ”gode” vaner. Hvis man har 27 forskellige passwords, der er lange og fulde af karakterer og tal og skal skiftes ofte og ikke må skrives ned – så skal man have en hukommelse som en elefant for at holde styr på dem. Og der kommer hele tiden flere online services, så hvad skal man gøre?

Det er meget enkelt. Få en password manager.

Password manager 101

For dem, der måske ikke lige ved det, så hjælper password managers med at generere, gemme og hente passwords fra en krypteret database. De kræver typisk, at brugeren opretter og husker et master password, der så styrer alle hans passwords. Et enkelt master password til at finde dem. Et enkelt password til at holde dem fast. Et enkelt master password til at stå ved afgrunden og råbe: “YOU SHALL NOT PASS!”

Undskyld, det var ikke til at modstå. Men som vi kom fra, så arbejder disse password managers på samme måde. Du vil i forbindelse med opsætningen blive bedt om at oprette et stærkt master password (og her skal du bruge best practices for passwords og fx generere en lang adgangskode med tal og versaler, der holder sig langt væk fra personlige informationer, man nemt kan gætte). Derefter tilføjer du dine andre credentials til denne password manager enten manuelt eller gennem værktøjer, der automatisk finder og uploader passwords for dig.

Selv om de fleste password managers har nogenlunde samme slags opsætning, sikrer de passwords på forskellig vis. Web-baserede password managers lagrer dine passwords krypteret i clouden. Nogle er indbygget i browsers som fx Safari, Firefox og Chrome. Andre gemmer dine passwords lokalt i en krypteret fil på din computer, tablet eller telefon.

Derudover er der nogle password managers, der indeholder funktioner, som hjælper dig med at revidere dine credentials, så du kan luge ud i dobbelte login informationer og fjerne sites, du ikke bruger, eller du kan blive alarmeret om brud på sikkerheden i de virksomheder, du logger ind på. Der er mange af dem, der har individuelle løsninger, der giver øget sikkerhed, som fx lokal spærring og to-faktor godkendelse (hvilket vi i meget høj grad anbefaler).

Men beder jeg ikke bare om at blive hacket, når jeg gemmer alt på ét sted?

Hvis du er lidt usikker på, om du skal bruge et enkelt adgangspunkt til alle dine sites, så husk på, at alle password managers stadig bruger dine individuelle passwords til at logge ind på dine konti. Disse passwords er låst inde i en krypteret database, hvilket er langt mere sikkert end en post-it på dit skrivebord eller en dårlig hukommelse. Spørg dig selv: Er det sikrere at gemme alle dine penge i en bank eller at gemme dem i bunker under forskellige madrasser?

Man kan også være bange for, at password managers bliver kompromitteret – ja, det er muligt. Faktisk er det allerede sket i 2015, da LastPass blev hacket. Men selv om de cyber kriminelle fik fingrene i nogle e-mail adresser, var de ikke i stand til at bryde de indeholdte master passwords. Det er fordi master passwords er beskyttet med en militær-agtig grad af sikkerhed, gemt bag tusindvis af trin af hashing eller algoritmer, der konverterer tekststrenge til længere tekststrenge. Så der er stadig ingen velrenommerede password managers, der har lækket brugernes master passwords (så vidt vi ved).

Så hvilken password manager bør jeg bruge?

Følgende password managers bliver anbefalet kraftigt af både medarbejdere på Malware Bytes Labs og tekniske anmeldere på The New York TimesLifehacker, og PCMag:

Hvis du ikke vil betro tredjepart apps alle dine personlige informationer, kan du prøve en open-source password manager som fx  KeePassX, selv om det kræver en hel del teknisk know-how at sætte den op.

Jeg er fuldstændig imod at bruge en password manager. Hvad kan jeg ellers gøre?

Selv om vi står ved vores anbefaling af at bruge password managers, forstår vi trangen til at modsætte sig at placere al sin tillid i hænderne på et andet firma. I så fald er der et par alternative metoder til at vælge mere sikre passwords, end det tilfældige sammensurium, du formodentlig har nu.

  1. Del dine online services ind i større grupper, såsom regninger, underholdning, shopping og sociale medier. Tildel hver gruppe et enkelt password i henhold til temaet. For eksempel kan du vælge film som dit tema og tildele citater fra en film til en gruppe, eller navne på karakterer fra en anden film til en anden gruppe. Foretag en rotation af disse passwords hver 3. måned trinvist ved at tilføje et tal eller ændre en karakter. Dette kræver en større indsats men er stadig at foretrække frem for at bruge det samme password til alle konti eller at skulle resette glemte passwords hver uge.
  2. Vælg et halvsvært password til alle konti men indsæt et navn i midten af dette password, for at vise hvilken konto, du logger ind på. Hvis dit password fx er L3tme1npleaz, kan dit Gmail password være L3tme1nGMAILpleaz. Dit Amazon password kan være L3tme1nAMAZONpleaz osv. osv.
  3. Vælg - når det er muligt - en service, der har en to-faktor godkendelse frem for en, der ikke har. Mere 150 applikationer har i øjeblikket implementeret to-faktor godkendelser. Du kan se dem her.

Passwords skal ikke styre dit liv. Du kan holde dem sikre i en password manager og nøjes med at huske en enkelt, lidt kompliceret remse i stedet for 27. Du kan slappe af, fordi du ved, at dine passwords er godt beskyttet. Og du kan brænde den hemmelige liste med passwords, du har i din adressebog, selv om du egentlig godt ved, du ikke burde.

 

Oversat til dansk efter blogindlæg af Wendy Zamora 
Malware Bytes Labs d. 4. maj 2017

Forrige
Næste
 

Kommentarer:

Ingen kommentarer endnu
Guest
Tirsdag, 28. september 2021