Sikkerhetsfirmaet SplashData publiserer årlig en liste over de mest brukte passordene på verdensbasis. Disse passordene toppet listen i 2014.
Som i fjor ligger passordet 123456 på topp, etterfulgt av det velkjente password.
Listen er basert på fjorårets mange passordlekkasjer. SplashData har på basis av 3.3 millioner passord funnet ut at dette er de 25 mest populære:
Rangering | Passord | Endring siden 2013 |
1 | 123456 | Uendret |
2 | password | Uendret |
3 | 12345 | Opp 17 plasser |
4 | 12345678 | Ned 1 |
5 | qwerty | Ned 1 |
6 | 123456789 | Uendret |
7 | 1234 | Opp 9 plasser |
8 | baseball | Ny |
9 | dragon | Ny |
10 | football | Ny |
11 | 1234567 | Ned 4 |
12 | monkey | Opp 5 plasser |
13 | letmein | Opp 1 plass |
14 | abc123 | Ned 9 |
15 | 111111 | Ned 8 |
16 | mustang | Ny |
17 | access | Ny |
18 | shadow | Uendret |
19 | master | Ny |
20 | michael | Ny |
21 | superman | Ny |
22 | 696969 | Ny |
23 | 123123 | Ned 12 |
24 | batman | Ny |
25 | trustno1 | Ned 1 |
Et enkelt passord gjør det selvfølgelig lettere for inntrengere å få tilgang til din kontoinformasjon. Ingen av passordene i listen ovenfor kan på noen måte anbefales. Et godt passord inneholder gjerne disse komponentene:
- En lengde over 10 tegn
- Små og store bokstaver
- Tall og spesialtegn
- Ingen personlige detaljer
Det anbefales også å ha forskjellige passord hos forskjellige tjenester.
Et annet tips som SplashData kommer med, er å bruke sammensetninger av tilfeldige ord:
It’s best to use random words rather than common phrases. For example, «cakes years birthday» or «smiles_light_skip?»
Det er også viktig å huske at det finnes andre måter å knekke passord på enn å gjette seg frem til dem: Om du sender passordet over en forbindelse som ikke er kryptert, kan passordet ditt leses i klartekst over nettverket.
Tofaktor-autentisering
Noe som er enda bedre enn et sterkt passord, er å i tillegg aktivere totrinns-godkjenning på tjenester som støtter dette. Totrinns-godkjenning er et velkjent begrep fra for eksempel nettbankverdenen, hvor du i tillegg til å ha et passord, også må skrive inn en engangskode.
De fleste store tjenesteleverandører tilbyr totrinns-godkjenning, og vi har skrevet en guide om hvordan du aktiverer det for Facebook.
Fortell oss gjerne hvilke grep du tar for å øke nettsikkerheten!
Rudi
Jeg forsøker å ha et individuelt passord per nettside, hvor jeg tar utgangspunkt i x antall bokstaver i domenet. F.eks. NRKbeta.no kan jeg ta de to første bokstavene, NR. Så gjør jeg en vri for at det ikke skal være så tydelig (f.eks. bytter plass, så det blir RN og ta begge opp 2 hakk i alfabetet) og legger til noe (som er likt for alle sider), for eksempel bruk en Brøk!. Så da blir det «TPbruk en Brøk!» på nrkbeta.no og «IXbruk en Brøk!» på VG.no. På de mest sensitive sidene, si epost, bank, o.l. har jeg individuelle passord.
Faren her er jo at om noen får tak i passordet mitt fra flere ulike sider vil de kunne «knekke koden». Derfor bytter jeg kode ca. hver andre år (og må av og til prøve to-tre ganger på nettsider hvor jeg har en konto jeg skjelden bruker).
Karl Martin Lund
Jeg har et lignende opplegg og det fungerer greit med et par unntak.
jeg sliter på nettsteder som krever at jeg bytter passord med jevne mellomrom. Dessuten er det en utfordring dersom stedet har krav til passord som ikke oppfylles med mitt system. Også er det når man kan velge å logge inn vha google, facebook eller twitter som alternativ til å ha en «egen» bruker på det aktuelle nettstedet. Dersom det er et sted jeg sjelden bruker, blir det ofte litt prøving og feiling…
Heldigvis har de fleste steder en «har du glemt passordet»-funksjon. Ulempen med det, er at dersom man får tak i eposten til en person, kan du klare å komme deg inn på veldig mange forskjellige tjenester.
Hmm, dette var NRK-beta, ja. Sikkert ikke mange av leserne som ikke har tenkt på dette før. Beklager bryderiet. :-\
Arve Systad
Det er egentlig bare klønete av de nettsidene som krever at man bytter passord med jevne tidsintervaller. Dette er jo også vanlig policy i mange bedrifter der folk har personlige brukere for tilgang til bediftsnettverk o.l.
At man må bytte passord to ganger i året betyr jo bare at sjansen for at man blir slapp med passordene blir større, og man ender med dårligere sikkerhet.
Passord som er behandla skikkelig blir ikke dårligere av å være de samme i femten år på rad. Og så er det jo et eget tema hva som er «skikkelig behandling» av passord, da.
Espen
Jeg har ulikt passord på hvert nettsted/nettkonto/epostkonto.
Jeg har brukt 1Password ( agilebits.com/onepassword ) i flere år og har dermed kunnet lage helt «hårete» passord (20-30 tegn – eller mer) som jeg slipper å huske – helt uvurderlig.
Programmet gjør det også lett å bytte passord. Det gjør i tillegg vurderinger av passordstyrke, hvor lenge du har hatt samme passord, om det finnes dubletter og det gir også melding samt anbefaling om passordbytte hvis nettsteder har hatt (kjente) datainnbrudd.
Bruker også to-trinns verifisering når det er tilgjengelig.
Jeg har heller aldri brukt Facebook- eller Google- innlogging på andre steder enn FB og Google – lager alltid egen konto/innlogging. Dette fordi jeg ønsker å begrense hva FB og Google vet om meg, samt for å øke sikkerheten. Har ikke sans for «logg inn med FB overalt»- praksisen.
Nå har ikke dette noe med passord å gjøre, men som generell sikkerhetsforanstaltning anbefaler jeg å ha eget kredittkort for netthandel (og absolutt ikke «lønnskontokortet»), gjerne uten kreditt liggende i kortet (det vil si at du må overføre penger for at kortet skal ha dekning – da kan du styre hvor mye du tåler å tape hvis noe skulle skje).
Skulle noe skje, vil man kun miste det som står inne på kortet (uavhengig av om man får erstattet eller ei) og det er langt mindre styr enn om man må få nytt «lønnskontokort».
Bare noen tanker.
Vennlig hilsen 🙂
digi_owl
Lurer på hvor mange det er som opererer med bruk og kast passord på sider dem må lage konto på for å gjøre en liten ting men så aldri kommer tilbake til…
Hest
For sånt fins det også bruk-og-kast-epost, som http://guerrillamail.com—siden genererer en epostadresse som er gyldig en kort tid, så man kan motta «confirmation email» eller hva nå enn, og så gjøre hva nå enn man skulle uten å eksponere epostadressen sin for potensielle spammere.
Og ellers kan man jo legge igjen hva man vil av epostadresser i kommentarfelt som dette. (Hvis noen skulle sjekke min: Ja, den er høyst reell. Jeg svarer ikke på mail akkurat nå fordi … jeg er på ferie.)
Disse passordene ble mest brukt – Ørnulf Berthinussen
[…] 123456 topper lista for andre året på rad, melder NRK Beta. […]
Asle Frantzen
Skulle likt å se en slik liste med norske grunnlagsdata. 123456 og andre tall-passord er forsåvidt greit, men ‘tante edith på 57 år’ lager ikke engelske passord som «password» og «trustno1».
Omar R. Langset
1. Ikke tro at et kryptisk passord er trygt, det gjør det bare vanskeligere for deg å huske, som gjør at du gjør det kortere og dermed lettere for datamaskiner å knekke (Se her for pedagogisk forklaring gitt av XKCD)
2. Ikke gjenbruk passord, bruk en passordtjeneste som 1Password eller LastPass og la den gjøre jobben for deg.
3. Bruk tofaktor autentisering på ALT som støtter det, send klage til de som ikke støtter det
Lauk
Skriv «pwgen 20» i terminalen, merk, kopier og lim inn. Det er sånn eg lager passord til dei fleste sidene, og så lar eg firefox ta hand om det.
Men epostpassordet mitt vil eg hugse sjølv så det lagte eg med metoden til Bruce Schneier:
schneier.com/blog/archives/2014/03/choosing_secure_1.html
Hest
Skuffet over at «correct horse battery staple» fortsatt ikke er med!
Passordtips fra Edward Snowden
[…] er godt kjent at passordsikkerhet er et problem: Hvert år publiserer SplashData en liste over de mest brukte passordene på verdensbasis, og hvert år er enkle kombinasjoner som «123456» og «password» høyt oppe på […]
Lars Nyvold
Makan til Paranoia!!! Antar at vedkommende ovenfor,enten har svært lite å bekymre seg over siden,de «tar helt av» p.g.a et skarve passord.
ELLER at de bekymrer seg over absolutt ALT! Nå må dere for all del ikke glemme å bruke Voks-segl på konvolutten,skulle dere slumpe til å sende et vanlig brev i posten,da jeg mener å ha hørt at postbudene landet rundt,bruker svært mye tid på å koke opp vann ,slik at de kan «dampe opp» konvoluttene som virker interesante!! Herrejemini,sitter vel å tviholder på Fnr. også…!