nrk.no

– Passordene er ditt digitale testament

Kategorier: Det sosiale nettet & Nettkultur

Passord til ulike tjenester på nett kan være vanskelig å holde styr på.

Hvorfor mener en sikkerhetsekspert det er en god idé å oppbevare passordene sine i en konvolutt?

Passord til ulike tjenester på nett kan være vanskelig å holde styr på.
Passord til ulike tjenester på nett kan være vanskelig å holde styr på. Foto: Flickr/Ron Bennetts

Å ha passord skrevet ned på pair er neppe det første mange assosierer med IT-sikkerhet. Det har versert mange råd om hvordan man behandler denne typen sensitiv informasjon, og vi i NRKbeta sitter dessverre ikke på fasiten. Selv om det kan være nok å holde styr på sine (forhåpentlig) ulike passord, hva da om andre kunne trenge tilgang? Sikkerhetsekspert Per Thorsheim kommer med et nyttig og oppsiktsvekkende råd i anledningen.

I forbindelse med Sigrid-saken fortalte politiet tidlig at de stod uten passord til nett-tjenester som kunne gi viktig informasjon i saken. Hanne Kristin Rohde i Oslo politidistrikt sa følgende:

Bevegelsene hennes på sosiale medier kan gi oss nyttige opplysninger. Har noen truet henne, utsatt henne for noe ubehagelig, eller har hun avtalt å møte noen?

Hanne Kristin Rohde, leder for seksjonen for vold- og seksualforbrytelser

Informasjonsvideo

Thorsheim har nylig laget en tankevekkende informasjonsvideo beregnet på ungdom som tar for seg dette temaet:

Thorsheim har flere ganger uttalt seg til norske medier i forbindelse med blant annet forsvinningssaker og har derfor lenge tenkt på å lage en slik video. Håpet er at flere skal få vite hvordan man kan gjøre det enklere for pårørende å administrere ulike kontoer på sosiale medier. Ikke bare ved forsvinninger, men også ved dødsfall kan det være nyttig for pårørende å ha tilgang til slik informasjon.

– Går du bort vil administrasjon av finansiell informasjon og slikt gå i orden via lovverket. Kontoer i sosiale medier, hvor vil du ha lagt igjen mye av livet ditt, er det vanskeligere å få kontroll over for pårørende, sier Thorsheim.

Han forteller om Googles nye tjeneste «Account life cycle manager«. Har du denne aktivert og det ikke registreres aktivitet på Google-kontoen din over en gitt periode, vil kontoen bli overlevert til en eller flere personer du har bestemt på forhånd. Thorsheim sier dette er noe av det som utgjør ditt digitale testament.

Per Torsheim Foto: Privat
Per Thorsheim Foto: Privat

Å skrive ned passord gjør det ikke bare enklere å spore opp noen, men gir etterlatte en mulighet til å rydde opp i ditt digitale liv.

Per Thorsheim

Thorsheim tror de færreste husker alle sine passord. Selv har han i overkant av to hundre, som det ville vært svært vanskelig å huske.

Les også: Unngå identitetstyveri: Enkle grep for å øke sikkerheten på nett

– Kyndige databrukere vil jeg anbefale å ta i bruk et program som kan administrere passord. Den enkleste løsningen for de uten så mye kompetanse på dette feltet vil være å skrive ned passordene, putte arket i en konvolutt og oppbevare den på et trygt sted, sier han til NRKbeta.

NSM er enig

Dette rådet stiller seniorrådgiver Roar Thon ved Nasjonal sikkerhetsmyndighet seg bak, men understreker likevel at det går mot det generelle rådet fra bransjen om å aldri gi fra seg denne typen personlig informasjon til andre.

– I kurssammenheng har jeg oppfordret til å skrive ned passord og legge dem i en bok i bokhylla. Sjansen for at noen bryter seg inn og leter etter et slikt kode-ark er jo betydelig mindre enn at noen klarer å knekke passordet ditt på nettet. Det finnes også programvare har som har utgitt seg for å ta vare på passord, men som viser seg å ikke gjøre det. Mange har også passord i et regneark på datamaskinen, men det innebærer også større risiko enn bokhylla, forteller han.

Savnet-gruppe

Anders Oksvold, Oslo politidistrikt Foto: NRK/Bengt Kristiansen
Anders Oksvold, Oslo politidistrikt Foto: NRK/Bengt Kristiansen

– Vi har fra tid til annen i saker hvor foreldre har tilgang til savnede personers kontoer i sosiale medier. I de tilfellene virker det som vedkommende har passord innlåst og en avtale med de nærmeste i hvilke tilfeller de kan benytte seg av dem, slier Anders Oksvold ved savnetgruppa i Oslo politidistrikt.

Han forklarer at mye av den informasjonen som brukes i letingen etter savnede personer kommer fra nettopp sosiale medier. Selv om han ser nytten av å skrive ned passordene slik Thorsheim foreslår, eksisterer det ingen offisielle råd fra forvaltningen relatert til passord, utover nettvettreglene. Politiet har heller ikke dette, men opererer med noen forsiktighetsråd for bruk av sosiale medier, etter den økte bruken av eksempelvis Facebook-grupper for å organisere leting i savnet-saker.

Å få tilgang til slik informasjon tidlig i en sak tror Oksvold kan være avgjørende, så framt forsvinningen har noe med en konflikt å gjøre. Da er sannsynligheten høy for at man har kommunisert om dette i sosiale medier, eller man har avtalt eller planlagt reiser.

Han ser for seg at det kan være behov for denne typen opplysninger for å komme i kontakt med vitner og venner, da det ikke nødvendigvis er nær familie som kjenner en person best. Det kan være venner eller noen vedkommende kjenner fra fritidsaktiviteter, som man gjerne snakker med via sosiale medier, sier Oksvold.

Å få mest mulig informasjon det første døgnet er viktigst i slike saker. Vil man derimot bli borte, og ikke ønsker å bli funnet, vil ikke opplysninger fra sosiale medier spille like stor rolle, mener Oksvold.

Trygg framtid?

– Flere filmer kommer, forteller Thorsheim, som i slutten av måneden arrangerer passordkonferansen PasswordsCon i Las Vegas.

Når det gjelder framtiden for passord, tror han ikke de forsvinner med det første. Passord er en billig løsning å ta i bruk som støttes av alle systemer. Totrinnsinnlogging, som bruker et fysisk element som kodebrikke eller mobiltelefon i tillegg til passord, er komplisert og koster mer penger samtidig som brukervennligheten blir dårligere, forteller han.

– Totrinnsinnlogging som tar i bruk mobiltelefonen kan gjøre at dine etterlatte ikke vil kunne logge seg inn på din konto om mobilen din også er borte. Denne typen innlogging kan altså styrke sikkerheten din, men i tilfeller hvor andre trenger tilgang til kontoene dine på nett, kan den svekke tryggheten. Der må man gjøre en overordnet risikovurdering, sier Thorsheim.

Hva tenker du om denne måten å behandle passord på? Har du andre tips?

22 kommentarer

  1. ja, jeg har lenge vurdert, i tilfelle ulykken var ute, om ikke jeg burde skrive ned et par hovedpassord i en konvolutt en plass. For øyeblikket er det jeg i familien som husker alle passordene, så ikke bare ville informasjon om meg bli innelåst, men kanskje ville de andre miste tilgang til sine ting.

    Men, en «tilfeldig» bok? Besøkende kan finne på å plukke tilfeldige bøker fra hylla. Det bør i såfall være en bok med en veldig flau tittel som ingen ville finne på å ta ned 🙂

    Svar på denne kommentaren

  2. Trenger vel ikke mer enn passord til e-posten(e). Der finner man omtrent alle plasser man har en konto, i form av e-poster sendt deg, og man kan nå resette passordene på alle sidene.

    Svar på denne kommentaren

    • Ronny Warelius (svar til Werner)

      Poenget er jo at man også skal kunne vite hvilke nettsider og spill osv personen har konto på også.

    • Ja? Om jeg gjør et søk på «konto» eller «account» eller «password» i e-posten min så har jeg sikkert dekket 95% av alle kontoene jeg måtte ha. Og man kan søke direkte etter «facebook» eller «twitter».

      Og om det er for vanskelig, så kan jeg lagre et draft der jeg lister alle kontoene mine. Dog, for politi eller til den jeg etterlater min digitale konti, vil ikke dette være et problem.

  3. Arvingen(e) til en profil/konto må
    registreres et sted i programmet
    (eks blogg, facebook)
    slik at en slipper ventetid
    for politi å få adgang ved for eks
    dødsfall eller forsvinning.

    Svar på denne kommentaren

    • kjetil seim haugen (svar til Steinar)

      Jeg bruker selv LastPass med en yubikey som tofaktor-autentifisering. Dette er veldig lett å sette opp og administrere selv for ikke-tekniske personer.

      Med et slikt system vil det være kun ett passord som må skrives ned, og det gir tilgang til en fin liste over alle tjenester man bruker. Grei oversikt i en krisesituasjon eller for å rydde opp etter et dødsfall.

    • Jeg bruker selv Lastpass med Yubikey, selv om en Yubikey nok er litt «overkill» for de fleste.
      Lastpass har en løsning for engangspassord, som jeg synes er veldig bra og fornuftig. Ved å ha en utskrift av et slikt engangspassord (16+ tegn) i bankboksen håper jeg mine nærmeste får tilgang på det viktigste. Å maksimalt hjelpe en eventuell etterforskning/ søk vet jeg ikke om blir så hjulpet av dette.
      Med dette vil mine nærmeste lett få en oversikt over alle mine nettbaserte tjenester OG ha tilgang til dem, uavhengig av når jeg har endret passord til disse tjenestene (og jeg gjør faktisk det innimellom).

      Å ha lagret informasjon om innlogginger og nettjenester i sin innboks i eposten er ikke noe som anbefales, selv om det skulle være aldri så praktisk. I det hele tatt, så synes jeg at løsninger som er laget til å administrere passord, så som Lastpass, blir møtt med ubegrunnet grad av skepsis, hvor kritikere ikke godt nok vurderer hva som vil være risikabelt (og upraktisk) ved å gjøre alt manuelt.

      Det rent prinsipielle ved å skulle legge til rette for at pårørende og myndigheter enkelt skal kunne få tilgang til ens nettbaserte informasjon kan jeg forstå at folk er uenige om, men hvordan nordmenn flest forholder seg til brukerinformasjon, tilgangskontroll etc har etter min erfaring stort forbedringspotensiale, noe som ville gagne både den enkelte bruker, deres familie og «nettbaserte» bekjentskaper.

    • Hans Magnus (svar til Steinar)

      Det beste hadde i så fall vært en dedikert tjeneste hvor man kunne lagre ett eller flere passord (evt et dokument), samt hvor man kunne avgi en form for erklæring for NÅR passord(ene)/dokumentet kunne utleveres, og også til HVEM. I bunn og grunn et juridisk digitalt testament.

  4. Det kan bli litt mye å gjøre. Endrer man (slik jeg gjør) passordene med jevne mellomrom, må også papiret oppdateres like ofte.

    Videre – dersom man dør, gjelder jo arveloven. Man bør derfor ikke legge igjen passord og eventuelt brikke til nettbank.

    Ideen over (Steinar) om å registrere pårørende som skal gis tilgang til passorbeskyttet nettinnhold (websider, facebook, etc.. ) ved død, er bent frem glimrende.

    Svar på denne kommentaren

  5. Just THomas Misund

    Skriv ned brukernavn og passord i en kryptert fil. Sørg for at dine pårørende veit hvor den ligger. Gi halvparten av nøkkelen til en advokat, og den andre halvparten til dine pårørende.

    Jeg har ikke gjort dette sjøl.

    Svar på denne kommentaren

  6. Etter hvert som passordene hopet seg opp utviklet jeg følgende løsning: Alle passordene står oppført i min sjuende sans, og er basert på et fantasiord som mine nærmeste kjenner til. En oppføring ser omtrent sånn ut: «Facebook: (passord) + fødselsår Billy». Billy er en av familiens hunder. Ingen vet om denne lista, men jeg føler meg trygg på at min sjuende sans vil bli gjennomsøkt hvis det skulle skje meg noe.

    Svar på denne kommentaren

    • Steinar (svar til Elisabeth)

      Det kan tenkes at tid blir viktig i noen tilfeller, for eks der personer forsvinner og Politiet ønsker å komme i gang raskt med å lete også i sosiale medier etc.
      Dersom detektivarbeid og studier av bokhyllen trengs, kan en miste viktig tid.

  7. Folk burde advares mot å legge ut livene sine på nett.
    Det er ingen mening i å beskrive hver en detalj om seg selv og hva man gjør fra dag til dag.
    Det er bekymringsfullt at norske myndigheter også tar i bruk Facebook og andre sosiale nettsteder når vi vet at amerikanerne har fri tilgang til informasjonen.
    De burde heller advare og holde seg langt borte fra slike nettsteder.

    Får man ikke tilgang til kontoene til en avdød,kan man sikkert få informasjonen fra NSA.

    Svar på denne kommentaren

  8. Ronny H. Hagen

    Selvfølgelig oppfordrer alle sikkerhetseksperter deg til å lagrte alle dine passord i ein konvolutt på kontoret ditt, eller i bokhyllen.
    De jobber tross alt for sikkerhetspolitiet før eller senere, og da er det greit at det er lett å bryte seg inn hos noen.
    Ja for du har jo ingenting å skjule, har du vell ?

    Svar på denne kommentaren

  9. Duste Mikkel

    Jeg synes det er greit at etterlatte ikke får se alt det jeg har lagt ut på nettet jeg. Jeg synes at folk skal huskes for hvordan de var i virkeligheten, så kan resten gå i glemmeboka. Det er nesten umulig å leve et liv uten sosiale medier nå om dagen og for å forstå alt det jeg har lagt ut betinger at en må ha gått i detalj på hvem jeg er for å skjønne konteksten i alt.

    Svar på denne kommentaren

    • thor kenneth (svar til Duste Mikkel)

      og hva da om det er politiet som trenger informasjonen fordi du har blitt full å rotet deg bort i by’n eller kjørt ut av veien fks.

      eller hvis det er snakk om ei jente som har blitt dratt inn i en bil..

    • godt poeng. kanskje vi trenger en lov som passer på at politiet vet hvor vi er 24/7….

      oh vent vi har det allerede 🙁

  10. jeg er enig i alt dette. personvern bør være forbeholdt de som er oppegående nok til å påberope seg personvern.

    litt som at beskyttelse mot vold bare bør gjelde de som er sterke nok til å slå (eller helst skyte) tilbake.

    FREMTIDEN ER VAKKER

    Svar på denne kommentaren

  11. The Fappening: Hvordan hackere fikk tilgang til kjendisenes private bilder

    […] Et annet godt råd er å skru på kryptering av backupene. Sørg da for å bruke et passord som du husker, men som også er veldig kraftig. Glemmer du passordet, er dataene dine tapt for alltid. Men det sørger også for at en ondsinnet hacker ikke har nubbesjans til å få tilgang til informasjonen din. Og passordet kan du skrive ned på en lapp. […]

    Svar på denne kommentaren

Legg igjen en kommentar til Esel Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.