Hvert år publiserer sikkerhetsfirmaet SplashData en liste over de minst sikre passordene i bruk på verdensbasis.
Passordet password har i mange år vært rangert som verstingen, men i år har 123456 tatt over tronen. Password havner dermed på en andreplass, etterfulgt av 123456789.
Årets liste er i stor grad preget av den lekkede passordlisten til Adobe, og vi kan takke passordlisten for flere nykommere, blant annet adobe123 og photoshop.
Her er hele listen:
Rangering | Passord | Endring siden 2012 |
1 | 123456 | Opp 1 plass |
2 | password | Ned 1 plass |
3 | 12345678 | Uendret |
4 | qwerty | Opp 1 plass |
5 | abc123 | Ned 1 |
6 | 123456789 | Ny |
7 | 111111 | Opp 2 plasser |
8 | 1234567 | Opp 5 plasser |
9 | iloveyou | Opp 2 plasser |
10 | adobe123 | Ny |
11 | 123123 | Opp 5 plasser |
12 | admin | Ny |
13 | 1234567890 | Ny |
14 | letmein | Ned 7 plasser |
15 | photoshop | Ny |
16 | 1234 | Ny |
17 | monkey | Ned 11 |
18 | shadow | Uendret |
19 | sunshine | Ned 5 |
20 | 12345 | Ny |
21 | password1 | Opp 4 plasser |
22 | princess | Ny |
23 | azerty | Ny |
24 | trustno1 | Ned 12 plasser |
25 | 000000 | Ny |
Les saken: Worst passwords of 2013
Sikkerhetsfirmaet ser også en trend i nye passord, hvor man ofte bytter ut bokstaver med tilsvarende tall (f.eks. passw0rd i stedet for password). SplashData anbefaler ikke denne form for passord, da de er – på lik linje med bokstavekvivalentene – veldig enkle å knekke.
Noen tips
Vi har nok alle brukt svake passord på ett eller annet tidspunkt – det skriver iallfall samtlige i NRKbeta under på. Men så lenge man tar noen forholdsregler, og ikke bruker helt opplagt enkle og mye brukte passord, så er man langt på vei.
SplashData foreslår heller å bruke to eller flere tilfeldige ord, separert med spesialtegn:
It’s best to use random words rather than common phrases. For example, «cakes years birthday» or «smiles_light_skip?»
Det er ganske mye å tjene på å ta et enkelt grep som det SplashData nevner i artikkelen. Ved å sette sammen to eller flere ord som ikke har noen direkte relevans til hverandre, øker man sikkerheten betydelig – rett og slett fordi en datamaskin må bruke mye lenger tid på å gjette seg frem til riktig kombinasjon.
Vi i NRKbeta bruker i tillegg ofte norske ord, da det er mindre sannsynlighet for at disse ligger i hackernes ordbøker.
Les også: Unngå identitetstyveri: Enkle grep for å øke sikkerheten på nett
Det er også viktig å huske at det finnes andre måter å knekke passord på enn å gjette seg frem til de: Om du sender passordet over en forbindelse som ikke er kryptert, kan passordet ditt leses i klartekst over nettverket.
Hva synes du om listen som er publisert? Er det noen av disse passordene som overrasker deg? Og, til slutt: Fortell oss gjerne hvilke grep du tar for å øke din nettsikkerhet!
Morten Sickel
Så har man også systemer som lagrer passord i klartekst – av og til får man seg noen overraskelser der. Sist en forretningspartner jeg må bruke gjennom jobben. Jeg glemte passordet, fikk ikke tilsendt et nytt passord eller en lenke for å resette, men selve passordet mitt…
Etterhvert har jeg lagt meg til vanen å når jeg oppretter en ny konto å lage den med et dustepassord, så ber jeg om å få passordgjenoppretting og så lager jeg et nytt passord på grunnlag av om passordet blir sendt i klartekst… (Får jeg et klartekstpassord, blir det nye av arten SånnLagrerManIkkePassord … :-/ )
Emil
Har gjort det samme selv i mange år med testing av passordlagring/gjennoppretting, i tillegg kjører jeg på med randompassord på 20-30 tegn på nettsteder jeg bare er innom en sjelden gang og bruker passordreset de gangene jeg skal logge inn.
Mathias
Selv bruker jeg et passord som er slik: 00000000Xxxxx000#
0 = siffer
X = stor bokstav
x = liten bokstav
# = tegn
Fredrik
Selv bruker jeg et passord som er slik: xxF##xxx#xxxxxxxxxx###
0 = siffer
X = stor bokstav
x = liten bokstav
# = tegn
Torkjell
Selv bruker jeg passord som er slik: xFxxxss#3ccc»»»
x=melk
F=egg
s=mel
#=sukker
c=salt
Ingeborg AR
men hvilken glasur bruker du?
Tja
Et alternativ for sider man skjeldent er innom, er å velge f. eks. navnet til siden og noe fast du husker på.
F.eks. kan dette være passord for NRK Beta: «letme1nNRKBETA»
Nettbank, mail, facebook og annet har man selvfølgelig et annet passord til slik at eventuelle lekkasjer ikke kan utnyttes for mye
En annen regel er å ikke ha to passord i forbindelse med hverandre. Dvs at dersom du absolutt må gjenbruke passord, så registrerer du deg ikke på en nettside med samme passord som du bruker til mailadressen du også måtte registrere samtidig
Gnonthgol
Det fungerer heilt til nokon tar passorda som er lekka frå adobe, linkdin eller andre stader og erstattar orda. Då blir det like sikkert som kva som helst anna gjenbrukt passord.
Terje
Et triks er å velge seg et (eller helst flere, naturligvis) tilfeldig sted langt hjemmefra og bruke postnummer og sted. Postnummeret kan også brukes som firesifret pin. Og om man glemmer den kan man finne det igjen ved å søke opp stedet – som man forhåpentligvis husker…..
Orbix
Et enkelt tips er å begynne passordet med et «?», deretter 2-3 tall, et ord og avslutte med «#».
Eller denne varianten: Jegvilsovelengermandager06
Raynold Halvorsen
Jeg har følgende rutiner for bruk av passord:
Jeg bruker aldri det samme passordet på flere tjenester.
Jeg skifter ofte pasord på de ulike tjenestene jeg benytter.
Jeg benytter aldri passord som det kan være lett å gjette seg til slik som f,eks. listen over viser eller som er lett å finne ved at det f.eks. er knyttet til meg som person.
Jeg oppevarer aldri passordene hverken skriftlig eller på andre måter slik at de kan bli funnet og benyttet av uvedkommende.
i tillegg, ved bruk av offentlige pcer (NAV, bibliotek o.l.), så krysser jeg aldri av for å huske brukernavn/passord.
Leselogg o.l. slettes/tømmes etter bruk av nettleser og evt. andre program på offentlige pcer.
På denne måten mener jeg å ha gjort det så vanskelig som mulig for andre å få tilgang til brukernavn og passord på de tjenester jeg bruker.
Jeg ønsker gjerne andre leseres mening om dette.
Stian
Tips – ikke lagre passord i nettlesere i det hele tatt.
De lagres som ofte som fritekst i nettleseren.
Ellers synes jeg du er i flinkeste laget – det holder lenge å vite hvor du trenger sikre passord og disse bør være lange – bruk gjerne sammensatte ord. f.eks «inkassofakturabrev» eller hvis du har en evne til å huske kompliserte ting, gjerne tilfeldige symboler.
På tjenester som er «mindre viktige» kan du gjerne bruke ett du husker greit og som er sikrere enn 123456 men for all del – det er vel så sannsynlig at tjenesten du bruker driter på draget og blir hacket (og har ikke skjult passordene, såkalt «hashing»). Du blir på en måte ikke sikrere av å ha et uløselig passord så lenge døra står på gløtt i andre enden.
Viktige tjenester – epost / facebook for de som bruker det / nettbank etc så er unike og sikre passord viktigere.
Kevin Brubeck Unhammmer
På Firefox kan du skru på «hovudpassord». Då blir passorda som nettlesaren lagrar kryptert, og du må skriva inn hovudpassordet for å få tilgang til dei lagra passorda.
Stian
Correct horse battery staple
xkcd.com/936/
Hvorfor man ikke har pass-setninger i stedet for ord er litt utrolig, i og med at en setning av tilfeldige ord er enklere å huske samt så godt som umulige å bryte
Kevin Brubeck Unhammmer
Ein grunn til at «correct horse battery staple»-typen er mindre utbreidd er dumme passordrestriksjonar. T.d. hos Apple får du ikkje (sist eg sjekka) bruka mellomrom eller «æøå» i passord, då har du valet mellom lett å knekka eller vanskeleg å hugsa.
Lille
Man kan evt bruke forbokstavene i en setning som også inneholder tall.
Idag er det 21.januar og prinsesse Ingrid Alexandra har bursdag!
..blir da..
Ied#21jopIAhb!
Husker man setningen husker man kombinasjonen av bokstaver og tall. 😀
Men jeg har hørt at man helst ikke skal bruke så mange tegn også, for det er enklere å finne ut hvilke ord som er passord. Noen tanker om det?
Tor B
> Men jeg har hørt at man helst ikke skal bruke så mange tegn også, for det er enklere å finne ut hvilke ord som er passord. Noen tanker om det?
«enklere å finne ut ord som er passord», hva mener du med det? Du kan da bruke så mange tegn som du orker. Poenget er ikke å skjule vilke ord som er passord, men 1. å ikke ha et passord som andre bruker eller som du bruker andre steder (blir ett sted hacket, så er passordet lekket og da kan folk prøve det) og 2. å ha et passord som er langt nok til at det tar lang tid å prøve alle tilfeldige kombinasjoner (sånn prøving tar lenger og lenger tid jo lenger passordet er)
Wilhelm
Var på vei til å poste denne!
Skulle ønske dette funket, men apple og andre gjør det helt umulig å lage passord man husker enkelt. For ikke å snakke om hvor vanskelig de blir å skrive på smarttelefoner og liknende.
Ikke nok med det, men du må gjerne bytte de en gang i måneden og passordet kan ikke være et passord du har hatt før.
Even Alander
Selv bruker jeg lastpass ( lastpass.com/ ) som har verktøy for å generere passord som er helt tilfeldige og stort sett 32 tegn lange, så lenge tjenestene støtter så lange passord. Jeg genererte også et tilfeldig 16-tegns passord som jeg memorerte og bruker som lastpass-passord ( f.eks. M9bP0gT3IwcmISqC som jeg nettopp genererte, trenger ikke å skrive det så mange ganger før det sitter ). Eneste unntaket er vel mail som jeg må kunne komme meg innpå uten lastpass sin hjelp og spotify og netflix hvor jeg har veldig lette passord siden jeg deler netflix-kontoen min og logger ofte nok inn på spotify når jeg er på besøk hos folk.
lastpass presser meg også mot bruk av forskjellige passord, med advarsler om at passordene er brukt andre plasser og pluginen til chrome er veldig bra og firefox ganske bra. Anbefales.
Richard
Bruker samme selv, og kombinert med Google Authentication eller Yubikey, så føles det ut som en grei løsning for å unngå at passord som lekkes ødelegger for andre tjenester jeg bruker.
Tim
Trist å sjå at X-files referansen «trustno1» raser 12 plassar i desse spionasjetider. Brukte det sjølv då serien rulla over norske skjermar.
Vidar Andreassen
Undres på hvor høyt på lista passordet «navn på kjæledyr» hadde havna om man samla alle av de!
Kim André Wiig
Passordkombinasjoner som undertegnede kan anbefale;
Chassisnummeret på bilen din; mer eller mindre klin umulig å få tak i.
Serienummeret på mobilen din; samme anskaffelsesvansker som overnevnte
Produktnøkkelen på et dataspill du har liggende hjemme; kanskje ikke veldig vanskelig å få tak i om man virkelig går inn for det, men lengden på disse produktnøklene bør ta tålmodigheten fra de fleste hackere
Registreringsnummeret på en eller annen tilfeldig billett; har ikke prøvd denne selv, men flere jeg kjenner sier dette er rosinen i pølsa á la passordsikkerhet
Ole Hovengen
Bruk av chassisnummer som passord gjør det også lettere å argumentere for hyppig bytte av doning. 😀
Simen Ringstad
For å ikke snakke om innkjøp av flere doninger.
Ja, kjære. Vi må kjøpe enda en bil. Du vil vel kunne se Grey’s på Netflix?
Harald
Meget enkelt å finne chassisnummeret / understellsnummer, så det er ikkje å anbefale.
Bare å laste ned appen «Bil og henger», så finner du det opp når du søker på reg.numre.
Ole Hovengen
Saken ville vært mer interessant om man hadde tatt seg bryet med å presentere en norsk liste over håbløse passord også.
Svein
Hvordan har man klart å lage en statistikk over de mest brukte passord??
Einar
Data fra hackede websider og tjenester ender ofte på nettet som en fin dump av brukeres epostadresser og passord. Sonys er vel den mest kjente i nyere tid.
Artur
Det var en gang, nå er det en korridor
Olav
correct horse battery staple xkcd.com/936/
Marius Helgå
Syns denne oppsummerer passordregimene veldig bra.
Carl S Bjustedt
LastPass, folkens. LastPass. Husk et (godt!) passord og glem resten. http://www.lastpass.com
Sturle Sunde
Mange passordregime krev både store og små bokstavar og tal eller spesialteikn. Alle passord i slike system har stor førebokstav og sluttar med eit tal eller eit spesialteikn. I tillegg skal passordet gjerne skiftast ofte, og det kan ikkje brukast om att. Dersom du er i eit slikt regime, garanterer eg at du vil få mange treff om du prøvar med denne enkle ordlista:
Januar14
Desember13
November13
Vinter2013
Vinter2014
Håvar Larsen
Men pokker da, Sturle! Var det noe poeng å liste opp ALLE de siste passordene mine! 😉
Geir
Når jeg trenger et sterkt passord slår jeg sammen navnene til barna mi og postkoden til byen der faren min ble født. Lett å huske, og har aldri blitt hacket.
Loff
Bruker ikke passord oO
Gjermund
Jeg bruker hele setninger, gjerne med litt tegnsetning, som «For veik var Kongens Boge!», lett å huske, vanskelig for en datamaskin å gjette.
Arnold
Mitt passord er mk827fax
fukmesideways
HUSK: å sperre deg inn, du som er, så fri
GP
Bruker du passord med navnet på en favorittsang du liker , i tillegg hvilket år den er utgitt, skal det være umulig å komme inn vil jeg tro…
Tom Hansen
Jeg har kallenavn på min kones flotte pupper. Hver åttende uke får vi på job elektronisk beskjed om å endre passordet. Det jeg har funnet ut er at hvis jeg endrer to tall så får jeg beholde kosenavnene på yndighetene. Så da blir det
XXXXXXXXXX90 den ene måneden XXXXXXXXX 80 den neste måneden osv..
»
Show them to me!
Unclasp your bra and set those puppies free
They’d look a whole lot better without that sweater baby I’m sure you’ll agree
If you got, two fun bags,
Show them to me!»
Anonym
Er det Ingvild du sikter til? 😉
Dag-Eivind
Morsomt at illustrasjonsbildet viser passordet til Macbooken min 🙂
Garben
Hvorfor blir ikke «hunter2» nevnt noen plass? Desidert det beste passordet noensinne.
Dragoneye
Ikke noe mer og si om den saken!
passwordsgenerator.net/
Olav Torvund
Det er så mange steder som krever at man registrerer seg og finner på et passord, f.eks. bare for å få tilgang til informasjon. Det vil ikke plage meg om andre også skulle få tilgang til slike nettsteder og god sikkerhet er ikke i min interesse. For slike steder velger jeg passord som er korte og enkle å huske, og som selvsagt er lite sikre.
Hvis sikkerheten betyr noe for meg, da velger jeg passord på en helt annen måte.
Daniel
Hva med passordhvelv som KeePass e.l.?
Dette er jo en økende trend.
Anders Svenneby
Artig å se at «trustno1» har overlevd, så mange år etter at X-files ble tatt av plakaten.
Jørgen Oktober
Jeg synes det er enklest å ta en frase som er ganske sprø for å huske det. For eksempel Saddams49Pupper. Da har man upper- og lowercase med tall. Har noen få av disse og det er aldri vanskelig å huske de bare man tar seg et minutt til å memorere de.
The Fappening: Hvordan hackere fikk tilgang til kjendisenes private bilder
[…] Les saken: De verste passordene […]
Disse passordene ble mest brukt i 2014
[…] i fjor ligger passordet 123456 på topp, etterfulgt av det velkjente […]