nrk.no

De verste passordene i 2013

Kategorier: Forbruker,Internett & Software

Bildet er hentet fra Schill på Flickr og har en Creative Commons-lisens.

Hvert år publiserer sikkerhetsfirmaet SplashData en liste over de minst sikre passordene i bruk på verdensbasis.

Passordet password har i mange år vært rangert som verstingen, men i år har 123456 tatt over tronen. Password havner dermed på en andreplass, etterfulgt av 123456789.

Årets liste er i stor grad preget av den lekkede passordlisten til Adobe, og vi kan takke passordlisten for flere nykommere, blant annet adobe123 og photoshop.

Her er hele listen:

Rangering Passord Endring siden 2012
1 123456 Opp 1 plass
2 password Ned 1 plass
3 12345678 Uendret
4 qwerty Opp 1 plass
5 abc123 Ned 1
6 123456789 Ny
7 111111 Opp 2 plasser
8 1234567 Opp 5 plasser
9 iloveyou Opp 2 plasser
10 adobe123 Ny
11 123123 Opp 5 plasser
12 admin Ny
13 1234567890 Ny
14 letmein Ned 7 plasser
15 photoshop Ny
16 1234 Ny
17 monkey Ned 11
18 shadow Uendret
19 sunshine Ned 5
20 12345 Ny
21 password1 Opp 4 plasser
22 princess Ny
23 azerty Ny
24 trustno1 Ned 12 plasser
25 000000 Ny

Les saken: Worst passwords of 2013

Sikkerhetsfirmaet ser også en trend i nye passord, hvor man ofte bytter ut bokstaver med tilsvarende tall (f.eks. passw0rd i stedet for password). SplashData anbefaler ikke denne form for passord, da de er – på lik linje med bokstavekvivalentene – veldig enkle å knekke.

Noen tips

Vi har nok alle brukt svake passord på ett eller annet tidspunkt – det skriver iallfall samtlige i NRKbeta under på. Men så lenge man tar noen forholdsregler, og ikke bruker helt opplagt enkle og mye brukte passord, så er man langt på vei.

SplashData foreslår heller å bruke to eller flere tilfeldige ord, separert med spesialtegn:

It’s best to use random words rather than common phrases. For example, «cakes years birthday» or «smiles_light_skip?»

Worst passwords of 2013

Det er ganske mye å tjene på å ta et enkelt grep som det SplashData nevner i artikkelen. Ved å sette sammen to eller flere ord som ikke har noen direkte relevans til hverandre, øker man sikkerheten betydelig – rett og slett fordi en datamaskin må bruke mye lenger tid på å gjette seg frem til riktig kombinasjon.

Vi i NRKbeta bruker i tillegg ofte norske ord, da det er mindre sannsynlighet for at disse ligger i hackernes ordbøker.

Les også: Unngå identitetstyveri: Enkle grep for å øke sikkerheten på nett

Det er også viktig å huske at det finnes andre måter å knekke passord på enn å gjette seg frem til de: Om du sender passordet over en forbindelse som ikke er kryptert, kan passordet ditt leses i klartekst over nettverket.

Hva synes du om listen som er publisert? Er det noen av disse passordene som overrasker deg? Og, til slutt: Fortell oss gjerne hvilke grep du tar for å øke din nettsikkerhet!

52 kommentarer

  1. Morten Sickel

    Så har man også systemer som lagrer passord i klartekst – av og til får man seg noen overraskelser der. Sist en forretningspartner jeg må bruke gjennom jobben. Jeg glemte passordet, fikk ikke tilsendt et nytt passord eller en lenke for å resette, men selve passordet mitt…
    Etterhvert har jeg lagt meg til vanen å når jeg oppretter en ny konto å lage den med et dustepassord, så ber jeg om å få passordgjenoppretting og så lager jeg et nytt passord på grunnlag av om passordet blir sendt i klartekst… (Får jeg et klartekstpassord, blir det nye av arten SånnLagrerManIkkePassord … :-/ )

    Svar på denne kommentaren

    • Har gjort det samme selv i mange år med testing av passordlagring/gjennoppretting, i tillegg kjører jeg på med randompassord på 20-30 tegn på nettsteder jeg bare er innom en sjelden gang og bruker passordreset de gangene jeg skal logge inn.

  2. Et alternativ for sider man skjeldent er innom, er å velge f. eks. navnet til siden og noe fast du husker på.

    F.eks. kan dette være passord for NRK Beta: «letme1nNRKBETA»

    Nettbank, mail, facebook og annet har man selvfølgelig et annet passord til slik at eventuelle lekkasjer ikke kan utnyttes for mye

    En annen regel er å ikke ha to passord i forbindelse med hverandre. Dvs at dersom du absolutt må gjenbruke passord, så registrerer du deg ikke på en nettside med samme passord som du bruker til mailadressen du også måtte registrere samtidig

    Svar på denne kommentaren

    • Gnonthgol (svar til Tja)

      Det fungerer heilt til nokon tar passorda som er lekka frå adobe, linkdin eller andre stader og erstattar orda. Då blir det like sikkert som kva som helst anna gjenbrukt passord.

  3. Et triks er å velge seg et (eller helst flere, naturligvis) tilfeldig sted langt hjemmefra og bruke postnummer og sted. Postnummeret kan også brukes som firesifret pin. Og om man glemmer den kan man finne det igjen ved å søke opp stedet – som man forhåpentligvis husker…..

    Svar på denne kommentaren

  4. Raynold Halvorsen

    Jeg har følgende rutiner for bruk av passord:

    Jeg bruker aldri det samme passordet på flere tjenester.

    Jeg skifter ofte pasord på de ulike tjenestene jeg benytter.

    Jeg benytter aldri passord som det kan være lett å gjette seg til slik som f,eks. listen over viser eller som er lett å finne ved at det f.eks. er knyttet til meg som person.

    Jeg oppevarer aldri passordene hverken skriftlig eller på andre måter slik at de kan bli funnet og benyttet av uvedkommende.

    i tillegg, ved bruk av offentlige pcer (NAV, bibliotek o.l.), så krysser jeg aldri av for å huske brukernavn/passord.

    Leselogg o.l. slettes/tømmes etter bruk av nettleser og evt. andre program på offentlige pcer.

    På denne måten mener jeg å ha gjort det så vanskelig som mulig for andre å få tilgang til brukernavn og passord på de tjenester jeg bruker.

    Jeg ønsker gjerne andre leseres mening om dette.

    Svar på denne kommentaren

    • Tips – ikke lagre passord i nettlesere i det hele tatt.

      De lagres som ofte som fritekst i nettleseren.

      Ellers synes jeg du er i flinkeste laget – det holder lenge å vite hvor du trenger sikre passord og disse bør være lange – bruk gjerne sammensatte ord. f.eks «inkassofakturabrev» eller hvis du har en evne til å huske kompliserte ting, gjerne tilfeldige symboler.

      På tjenester som er «mindre viktige» kan du gjerne bruke ett du husker greit og som er sikrere enn 123456 men for all del – det er vel så sannsynlig at tjenesten du bruker driter på draget og blir hacket (og har ikke skjult passordene, såkalt «hashing»). Du blir på en måte ikke sikrere av å ha et uløselig passord så lenge døra står på gløtt i andre enden.

      Viktige tjenester – epost / facebook for de som bruker det / nettbank etc så er unike og sikre passord viktigere.

    • Kevin Brubeck Unhammmer (svar til Stian)

      På Firefox kan du skru på «hovudpassord». Då blir passorda som nettlesaren lagrar kryptert, og du må skriva inn hovudpassordet for å få tilgang til dei lagra passorda.

    • Kevin Brubeck Unhammmer (svar til Stian)

      Ein grunn til at «correct horse battery staple»-typen er mindre utbreidd er dumme passordrestriksjonar. T.d. hos Apple får du ikkje (sist eg sjekka) bruka mellomrom eller «æøå» i passord, då har du valet mellom lett å knekka eller vanskeleg å hugsa.

    • Man kan evt bruke forbokstavene i en setning som også inneholder tall.

      Idag er det 21.januar og prinsesse Ingrid Alexandra har bursdag!
      ..blir da..
      Ied#21jopIAhb!

      Husker man setningen husker man kombinasjonen av bokstaver og tall. 😀

      Men jeg har hørt at man helst ikke skal bruke så mange tegn også, for det er enklere å finne ut hvilke ord som er passord. Noen tanker om det?

    • Tor B (svar til Lille)

      > Men jeg har hørt at man helst ikke skal bruke så mange tegn også, for det er enklere å finne ut hvilke ord som er passord. Noen tanker om det?

      «enklere å finne ut ord som er passord», hva mener du med det? Du kan da bruke så mange tegn som du orker. Poenget er ikke å skjule vilke ord som er passord, men 1. å ikke ha et passord som andre bruker eller som du bruker andre steder (blir ett sted hacket, så er passordet lekket og da kan folk prøve det) og 2. å ha et passord som er langt nok til at det tar lang tid å prøve alle tilfeldige kombinasjoner (sånn prøving tar lenger og lenger tid jo lenger passordet er)

    • Wilhelm (svar til Stian)

      Var på vei til å poste denne!

      Skulle ønske dette funket, men apple og andre gjør det helt umulig å lage passord man husker enkelt. For ikke å snakke om hvor vanskelig de blir å skrive på smarttelefoner og liknende.

      Ikke nok med det, men du må gjerne bytte de en gang i måneden og passordet kan ikke være et passord du har hatt før.

  5. Selv bruker jeg lastpass ( lastpass.com/ ) som har verktøy for å generere passord som er helt tilfeldige og stort sett 32 tegn lange, så lenge tjenestene støtter så lange passord. Jeg genererte også et tilfeldig 16-tegns passord som jeg memorerte og bruker som lastpass-passord ( f.eks. M9bP0gT3IwcmISqC som jeg nettopp genererte, trenger ikke å skrive det så mange ganger før det sitter ). Eneste unntaket er vel mail som jeg må kunne komme meg innpå uten lastpass sin hjelp og spotify og netflix hvor jeg har veldig lette passord siden jeg deler netflix-kontoen min og logger ofte nok inn på spotify når jeg er på besøk hos folk.

    lastpass presser meg også mot bruk av forskjellige passord, med advarsler om at passordene er brukt andre plasser og pluginen til chrome er veldig bra og firefox ganske bra. Anbefales.

    Svar på denne kommentaren

    • Bruker samme selv, og kombinert med Google Authentication eller Yubikey, så føles det ut som en grei løsning for å unngå at passord som lekkes ødelegger for andre tjenester jeg bruker.

  6. Kim André Wiig

    Passordkombinasjoner som undertegnede kan anbefale;

    Chassisnummeret på bilen din; mer eller mindre klin umulig å få tak i.

    Serienummeret på mobilen din; samme anskaffelsesvansker som overnevnte

    Produktnøkkelen på et dataspill du har liggende hjemme; kanskje ikke veldig vanskelig å få tak i om man virkelig går inn for det, men lengden på disse produktnøklene bør ta tålmodigheten fra de fleste hackere

    Registreringsnummeret på en eller annen tilfeldig billett; har ikke prøvd denne selv, men flere jeg kjenner sier dette er rosinen i pølsa á la passordsikkerhet

    Svar på denne kommentaren

    • Simen Ringstad (svar til Ole Hovengen)

      For å ikke snakke om innkjøp av flere doninger.

      Ja, kjære. Vi må kjøpe enda en bil. Du vil vel kunne se Grey’s på Netflix?

    • Meget enkelt å finne chassisnummeret / understellsnummer, så det er ikkje å anbefale.
      Bare å laste ned appen «Bil og henger», så finner du det opp når du søker på reg.numre.

    • Einar (svar til Svein)

      Data fra hackede websider og tjenester ender ofte på nettet som en fin dump av brukeres epostadresser og passord. Sonys er vel den mest kjente i nyere tid.

  7. Mange passordregime krev både store og små bokstavar og tal eller spesialteikn. Alle passord i slike system har stor førebokstav og sluttar med eit tal eller eit spesialteikn. I tillegg skal passordet gjerne skiftast ofte, og det kan ikkje brukast om att. Dersom du er i eit slikt regime, garanterer eg at du vil få mange treff om du prøvar med denne enkle ordlista:

    Januar14
    Desember13
    November13
    Vinter2013
    Vinter2014

    Svar på denne kommentaren

  8. Jeg har kallenavn på min kones flotte pupper. Hver åttende uke får vi på job elektronisk beskjed om å endre passordet. Det jeg har funnet ut er at hvis jeg endrer to tall så får jeg beholde kosenavnene på yndighetene. Så da blir det

    XXXXXXXXXX90 den ene måneden XXXXXXXXX 80 den neste måneden osv..

    »
    Show them to me!
    Unclasp your bra and set those puppies free
    They’d look a whole lot better without that sweater baby I’m sure you’ll agree
    If you got, two fun bags,
    Show them to me!»

    Svar på denne kommentaren

  9. Det er så mange steder som krever at man registrerer seg og finner på et passord, f.eks. bare for å få tilgang til informasjon. Det vil ikke plage meg om andre også skulle få tilgang til slike nettsteder og god sikkerhet er ikke i min interesse. For slike steder velger jeg passord som er korte og enkle å huske, og som selvsagt er lite sikre.

    Hvis sikkerheten betyr noe for meg, da velger jeg passord på en helt annen måte.

    Svar på denne kommentaren

  10. Jørgen Oktober

    Jeg synes det er enklest å ta en frase som er ganske sprø for å huske det. For eksempel Saddams49Pupper. Da har man upper- og lowercase med tall. Har noen få av disse og det er aldri vanskelig å huske de bare man tar seg et minutt til å memorere de.

    Svar på denne kommentaren

Legg igjen en kommentar til Tom Hansen Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.