Vad är ett bra lösenord?
Om man tittar ur synvinkeln från någon som står i begrepp att utföra en attack mot ett system är ett bra lösenord (svårt att forcera) uppbyggt med slumpmässigt valda teckenkombinationer.
|
| Vad kan jag tänka på? |
| 1. |
Gör ditt lösenord långt. Ett minimikrav är 8 tecken, 14 tecken eller mer är ett ideal. |
| 2. |
Tänk på att ju färre teckenkombinationer du använder desto längre måste lösenordet vara. |
| 3. |
Använd blanksteg. Många system stöder blanksteg och då kan dessa med fördel användas. |
| 4. |
Använd fantasin, ett lösenord som heter "mamma" eller "pinglan" knäcks på bråkdelen av sekunder. Om du istället använder D3cad0_S3cureIT_3&# kommer det att vara en helt annan historia om du utsätts för en attack av dina system. Tyvärr låter vi lättjan styra i allt för stor utsträckning och det straffar sig alltid i längden. |
| 5. |
Använd ord och fraser som är lätta att komma ihåg men svåra för andra att gissa. |
| |
| Några tips på vägen |
| 1. |
Tänk på en mening som du kan komma ihåg. Till exempel "Min dotter Agnes är 9 månader gammal" |
| 2. |
Kolla om det system du tänker använda lösenordet till accepterar blanksteg. Om systemet stödjer blanksteg skall dessa användas. |
| 3. |
Om systemet inte accepterar blanksteg kan du konvertera om din mening så att den går att använda ändå. Du kan till exempel använda det första tecknet i varje ord som din mening innehåller. Detta skulle ge oss "mdaä9mg". |
| 4. |
Vi skall nu göra lösenordet lite mer komplext. I punkt tre använder vi bara små bokstäver men för att göra ditt lösenord ännu säkrare kan vi blanda små och stora bokstäver. Det skulle till exempel kunna ge oss "MdAä9Mg". Vi kan också tänka oss att göra om siffran 9 till bokstäver. Det skulle ge oss "MdAänioMg". Nu är vi uppe i tio tecken och vi har en ganska bra struktur på vårt lösenord. |
| 5. |
Men vi ger oss inte här. För att göra vårt lösenord ännu säkrare skall vi lägga till några specialtecken, dessa kan vara #_- =!?". Det skulle kunna ge oss följande kombination #MdAänioMg_4#. |
| 6. |
Vi skall nu testa vårt lösenord. Vi börjar med pinglan och sedan använder vi #MdAänioMg_4#. |
| |
 |
Test 2
Ett nytt fönster kommer att öppnas där du kan testa hur starkt ditt lösenord är. Klistra in respektive lösenord för att se hur starka de är. |
| 7. |
Vad fick du för resultat med "pinglan" kontra "#MdAänioMg_4#"? |
| 8. |
"pinglan", "mamma", "fia123" är lätta att komma ihåg men du äventyrar inte bara din lokala IT-miljö utan hela företagets IT-miljö genom att låta lättja styra över sunt förnuft. |
| |
| Vad skall man undvika när det gäller lösenord? |
| 1. |
Undvik sekvenser som skrivs i en följd eller som upprepas, t.ex. 123456, asdfgh eller 444444 |
| 2. |
Undvik att försöka förvränga namn med andra tecken. Smarta kriminella element tänker logiskt och ett lösenord som ser ut så här "D3cad0" är inget bra val om företaget Decado blir utsatt för en attack. Dock kan längre tillägg fungera bra, som t.ex. D3cad0_S1T_#aB. |
| 3. |
Använd aldrig delar ur ditt namn, födelsedata, eller namnet på nära och kära. Om du har varit utsatt för social engineering kommer dessa variabler vara de första som provas. (Social engineering - dvs. att den som utför en attack mot ditt företag har tagit reda på fakta om dig via fysisk kontakt. Är du säker på att alla säljare som vill sälja skräp till dig har som huvuduppgift att just sälja skräp?) |
| 4. |
Undvik att använda ord från lexikon. Kriminella element använder sofistikerade verktyg som bygger på ord från flera typer av lexikon för att gissa sig till lösenord. Dessa verktyg klarar även av att gissa ord som är skrivna baklänges samt vanligt förekommande felstavningar. |
| 5. |
Använd aldrig samma lösenord till alla dina tjänster. Attackeras en resurs med lyckat resultat kommer det fungerande lösenordet även att användas på nästkommande resurs också. |
| 6. |
Lagra inte lösenorden "online". Att göra ett Excelark med alla lösenord som sedan sparas lokalt på en dator är ingen bra lösning om just den datorn attackeras med lyckat resultat. Det är tyvärr vanligt förekommande att just administrativa lösenord lagras "online" vilket är mycket riskabelt.
Som ett exempel kan vi nämna just en Excellista med en individs samtliga arbetsrelaterade lösenord samt även de flesta privata lösenorden. Denna lista for efter ett virusangrepp ut i omlopp till alla kontakter i vederbörandes adresslista. Naturligtvis kan ni förstå den negativa omfattningen av detta samt det arbete som krävdes för att ställa allt till rätta. En annan viktig del att komma ihåg är den badwill som oavsiktligt skapades kring företaget. Det är lätt att tänka "Men herregud, kan de inte ens hantera sina lösenord". Om det är en viktig kund eller leverantör som tänker på detta sätt kan det bli en olycklig situation. Dock skall vi nog alla rannsaka oss själva lite grann! Hur hanterar du dina lösenord idag? |
| |
En intressant fråga angående lösenordsadministration
De av er som har erfarenhet av att jobba i ett lokalt nätverk med en domänkontrollant (i regel en server) vet att det med jämna mellanrum kommer upp ett meddelande som säger att lösenordet är på väg att gå ut och det bör bytas. Många gånger skall detta byte ske en gång per månad vilket innebär att användaren skall hitta på 12 nya lösenord per år. I vissa fall skall lösenordet bytas var 14:e dag vilket innebär cirka 26 nya lösenord per år.
Grundtanken med denna säkerhetsåtgärd är god om alla individer gör sitt yttersta för att varje gång skapa ett nytt starkt lösenord. Dock arbetar människan av naturen alltid för att finna den enklaste vägen runt det vi ser som ett "problem". Om grundkravet är ställt att lösenordet skall bytas var 30:e dag och att lösenordet inte får vara kortare än 6 tecken kommer följande scenario med all säkerhet att inträffa.
Januari: pinglan
Februari: pinglan1
Mars: pinglan2
April: pinglan3
Osv...
Byt sällan - det kan vara lösningen!
Hellre att man byter lösenord en gång per år om det lösenordet är riktigt starkt än att man använder 12 svaga lösenord. Man kan också gå så långt att det tillåts att lösenordet skrivs ner på en papperslapp bara medarbetarna förstår vikten av denna papperslapp. Sätt detta lilla dokument i relation till plånboken eller kreditkorten eller varför inte en tusenkronors sedel. Skulle vi slarva med någon av dessa?
Man kan också se detta ur ett kostnadsperspektiv:
Om man administrerar lösenordsbyte 12 ggr per år och medarbetarna lägger ner energi på att hitta på bra lösenord kan ett nytt problem uppkomma om det inte finns en bra strategi på hur lösenorden skall hanteras. Detta problem går under namnet "Återskapande av lösenord". Av naturen är det lätt att glömma, det kan vi alla göra och det är inget konstigt med det. Men det går åt tid om man skall återskapa lösenord och är det mycket folk i en organisation där lösenorden ofta "tappas bort" bort blir det en onödig kostnad samt att man binder upp tid för IT-personal som kan läggas på andra och viktigare saker.
Någta tips:
1. Utse en ansvarig.
2. Arbeta fram en rätt balanserad strategi som godkänns av företagsledningen.
3. Implementera denna strategi hos medarbetarna.
4. Informera om risker och konsekvenser.
5. Kontinuerlig uppföljning och information.
Ett litet tillägg
Skapa en rutin för hur utloggning skall ske inom företaget. Är det riktigt att man lämnar sin dator olåst när man går på lunch bara för att man inte "orkar" knappa in lösenordet när man kommer tillbaka. Ställ krav på att alla datorer inom företaget skall loggas ur så fort den anställde lämnar den obevakad. En olåst dator i miljö med stor rörlighet av människor kan ge en förödande effekt om den får fel person bakom tangentbordet. Inkludera detta krav i ert företags IT-policy som de anställda får ta del av, godkänner och signerar. |
