nrk.no

Passordtips fra Edward Snowden

Kategori: Sikkerhet

John Oliver foreslår passord for Edward Snowden. Foto: Faksimile fra Last Week Tonight With John Oliver på YouTube.

Edward Snowden kan sikkerhet. I denne ukens utgave av Last Week Tonight intervjuer John Oliver varsleren om passordsikkerhet.

Komikeren John Oliver har hatt stor suksess med HBO-serien Last Week Tonight, og hver episode inneholder et tematisk dypdykk som i blant føles svimlende likt god, tradisjonell gravejournalistikk.

I denne ukens episode var temaet statlig overvåkning, og vi fikk se at John Oliver satte seg på et fly til Moskva for å intervjue selveste Edward Snowden om penisbilder:

I dag slapp John Oliver litt bonusmateriale fra intervjuet, hvor temaet er passordsikkerhet.

Det er godt kjent at passordsikkerhet er et problem: Hvert år publiserer SplashData en liste over de mest brukte passordene på verdensbasis, og hvert år er enkle kombinasjoner som «123456» og «password» høyt oppe på lista.

Og som vi ser i videoen om passordsikkerhet, innrømmer også John Oliver at han ikke har strenge regimer på sine passord (hans passord er fem tegn langt).

Edward Snowden hevder at det kan ta under ett sekund for en superdatamaskin å knekke et typisk åtte tegn langt passord. Varsleren anbefaler videre at man prøver å bruke setninger som passord i stedet for enkeltord, og legger fram «margaretthatcheris110%SEXY» som et eksempel på et godt passord.

John Oliver sier at han er klar over at hans egne passordregler er dårlige, men at i likhet med mange andre så oppleves det som vanskelig å endre på rutinene.

Vi skulle selvfølgelig ønske at Edward Snowden snakket litt om tofaktorgodkjenning. Det er vel kanskje en lite fruktbar idé å presentere for en samtalepartner som føler at det ideelle passordet er «passwerd». Med e.

For vårt opplyste publikum, derimot, er det absolutt verdt å aktivere tofaktorgodkjenning for de viktige nettjenestene. Vi har også laget en guide for hvordan du gjør det for Facebook-profilen din.

23 kommentarer

  1. Bruker man en tjeneste som LastPass, kan man stille inn programmet til å generere passord med et visst antall tegn.
    Dette er mye sikrere enn å finne på passord selv.
    Det er da svært viktig at man bruker et godt passord til LastPass.
    Påloggingen på ethvert nettsted blir da utrolig mye enklere.
    Selv har jeg minst 40 nettsteder der jeg må logge meg på. Det er komplett umulig for meg å huske alle passordene, og da er et program som LastPass redningen.

    Svar på denne kommentaren

    • Ulempen er at hvis maskinen du kjører LastPass på er koblet til nettet og blir infisert av noe så kan du miste alle passordene.

    • Allan (svar til N)

      Vell, om maskinen din er infisert ser de alle dine passord uansett. Men om de får tak i passordlisten til lastpass er denne fortsatt kryptert med alt fra 1024 til 2048 bit. Denne listen kan også legges hos lastpass hvor du henter passord over nettet, og har da ingen lokal fil liggende.

      Om de overvåker maskinen din får de passordene da de kan leses i det du logger inn på de forskjellige sidene(keylogger feks) – dog kan de det uavhengig om du benytter lastpass eller legger inn passord manuelt.

      Fordelen derimot er at du har kun et godt passord/vanskelig passord du trenger å huske. Ellers tar lastpass seg av generering av nytt passord, unikt passord, til hver tjeneste og logger deg inn automatisk, slik at du ikke trenger å huske passordet. Derfor er det å anbefale på det strerkeste. Om noen får tak i et passord til en av dine tjenester er de fortsatt sperret ute fra resten. Mail må sikres med 2-stegs verifikasjon slik at passord på unike tjenester ikke kan nullstilles.

      Og tada – Du trenger kun et passord du må pugge(helst bytte i ny og ne) til admin akssess hos lastpass.

      Er ikke pc’en din på nett, har du helle ikke behov for 10 talls(om ikke 100 talls) passord, og dette gjelder ikke deg.

    • Atle Hansson (svar til N)

      Unødvendig å backe opp dataene lokalt. Har du hovedpassordet vil du alltid kunne reinstallere lastpass-pluginen/appen og hente ned alt fra nettet. Her er det Lastpass skriver:

      «Your data is also securely synced with the LastPass servers. When you make updates to your LastPass account, whether in a browser plugin, a mobile app, or the website, the updates are reflected on the LastPass servers as well.

      If your hard drive ever crashes, or your laptop is stolen, you can easily regain access to your accounts by reinstalling the plugin (https://lastpass.com/download.php) and logging in with the same email and master password.»

    • Roy Sigurd Karlsbakk (svar til Gunnar)

      Det sikreste er å bruke et passord som er langt og lett å huske. Se nevnte xkcd-stripe…

    • Kai (svar til M)

      Lokalt på enheten din er det en kryptert fil med bla påloggings info.
      Du benytter ett master passord som gjør at du slipper å huske alle de andre passordene til forskjellige nettsider etc.

      Hacker de kontoen din så får de bare ut krypterte passord. Hacker de maskinen din får de en kryptert fil men hvis de monitorerer hva du skriver får de jo passordet ditt.

      Du kan også benytte ekstra sikkerhet ved å motta SMS, Yubikey, Smartkort,fingeravtrykk, google sin SMS løsning og du kan lage en egen liste slik enkelte nettbanker benyttet tidligere med en lite kort som har en del engangs koder etc.

      Fordelen er uansett at alle plassene du trenger passord så er de unike og passordgeneratoren lager lange og avanserte passord som du slipper å huske.

      Gratisversjonen er jo verdt å prøve. Fungerer på din favoritt nettleser og smarttlf etc.
      Skal du ha mulighet for yubikey etc så må du ha betal versjonen.

      Ellers er det lurt å exportere dataene fra LastPass for som nevnt i et svar over så må man ha en backup. Den kan man skrive ut å lagre en lur plass i tilfelle maskinen får havari.

  2. Hvorfor er det slik at et passord med vanlige ord hvor man har byttet ut enkelte tegn med lignende tall er enklere å dekryptere enn en helt ordinær setning med ord man finner i ordbøker? Og er det forskjell om man skriver MargaretThatcherIs100%Sexy og margaretthatcheris100%SEXY (hvor hvert ord får stor forbokstav i førstnevnte)?

    Svar på denne kommentaren

    • allan (svar til Magnus)

      Kommer litt ann på, men normalt sett vil feks: MaRgAretTHatCherIS100%SeXy være vanskligere å knekke enn: MargaretThacherIs100%Sexy.

      Det er for at når du skal knekke et passord skilles det på små og store bokstaver og tegn. Så om du tipper en liten bokstav hvor passordet inneholder en stor bokstav er det feil. Så ikke bare må du treffe med rette ordet, men med rette «skrivemåten».

      Hvorvidt et tall istede for et ord ville vært lettere er feil. Det kommer helt ann på hvordan denne utbyttingen er gjort. Og det igjen kommer av kjente, vanlige forkortelser som allerede er godt kjent er lagt inn i «filen» som kjøres mot login funksjon for å lete etter treff.

      Så det er feks ikke anbefalt å starte hvert ord med en stor bokstav da det er helt normalt, og det første som testes. Derimot å blande små, store og tegn i en setning helt vilkårlig er det beste(aller helst en setning bygd av ord som ikke hører sammen i en normal setning).

      Så: nhxkjw{kj}3 er et ok passord. NhXKJw{Kj}3 er bedre.(satt litt på spissen)

    • Inge (svar til allan)

      M@rGaR3tHthätCh3reR110%uS3Xy er enda bedre.

      Dersom du har mulighet til å bruke særnorske tegn og tegn som ä er du ganske trygg.

    • Det er ikke enklere å dekryptere slik du fremstiller det.
      Man bruker ofte script som prøver forskjellige passord. De baserer seg på ordlister og lager varianter med tall etc og så prøver de å logge seg på. Har man det krypterte passordet så er det ofte ikke nok om man vil dekryptere det iom at slike ofte blir «saltet» med en hemmelig nøkkel.

      Der man f.eks hadde brukt MargaretThatcher så vil et skikkelig script prøve det sammen med varianter som MargaretThatcher2015 MargaretThatcher15 etc

      I det du introduserer «setninger» så vil ikke slike automatiserte script like lett finne passordet.
      Det er ikke snakk om å dekode krypterte passord men ha gode passord som automatiske script ikke klarer å gjette basert på ordlister.

      Når du har passord som «DetVarEnGang4SmåUlver» og «D3tVar1GangfireSmåUlver» så vil de være tryggere enn kortere passord som er basert på enkle ordlister.

      En bieffekt med å bruke setninger og samtidig bytte ut bokstaver med tall el er at de blir lengre og samtidig lettere å huske en helt «tilfeldige» tegn.

      12tegn i dag går fort om det baserer seg på ord som man finner i en ordliste. mens 12tegn som er tilfeldig tar lengre tid.

  3. Nå har ikke jeg greie på data, men hvor fort en datamaskin kan gå gjennom alle
    kombinasjoner har vel bare betydning i tilfelle det er et passord til en kryptert
    tekst som datamaskinen allerede har tilgang til? Jeg mener hvis datamaskinen skal
    logge seg på kontoen min må den vel prøve ett og ett passord som kan ta tusenvis
    av år med bare en milliard kombinasjonsmuligheter.

    Hvis datamaskinen prøver hundrevis av millioner kontoer samtidig vil den finne ett
    passord i løpet av et par år. For meg virker det som den egentlige
    problemstillingen er at passord blir stjålet, ikke at enorme mengder passord blir
    prøvd en etter en?

    Svar på denne kommentaren

    • Allan (svar til Trygve)

      Det kommer HELT ann på kompleksiteten på ditt passord det. Som sagt er det enorme datakrefter tilgjengelig i dag for å knekke et passord. Har de mailadressen din har de som regel brukernavnet også – og da mangler kun passordet.
      Feks kan du lese om en som klarer 350 millioner passord i sekundet her: http://www.tek.no/artikler/dette-monsteret-finner-passordet-ditt/115161 – Utdrag: I løpet av under seks timer vil klyngen ha gått gjennom 6,6 billiarder kombinasjoner.
      (hadde en slik maskin skulle knekt passordet ditt som måtte ha bestått av feks abcdefg(bare for å ta noe) hadde det ikke tatt mange sekundene. Ei heller om det bestod av ord eller uttrykk som er veldig vanlig eller tilgjengelig i ordbøker)

      Det er veldig populært at man setter opp GPUer(skjermkort) for å knekke passord istedet for vanlige prossessorer da disse har mye større datakapasitet.

      Når det er sagt, så er det hele tiden forsøk å å stjele/knekke passord. Jeg har feks en server stående, og den har daglig alt fra 100 til 1000 påloggingsforsøk fra uvedkommende som tester forskjellige brukernavn og passord for å få tilgang(gjetter på kombinasjoner av brukernavn/passord). Og det til tross for at den kun står der, online, men er egentlig ikke i reel drift eller mottar,sender noe særlig med data. Mesteparten fra kinesiske iper snodig nok… 🙂

    • g.o. (svar til Allan)

      Når det gjelder kodeknekking, spesielt med tanke på passord så er det ofte at man benytter John The Ripper som program.
      De letteste passordene er ofte slike som: awsome59
      Altså små bokstaver, og tall på slutten.

      Det med ordlister missforstås for ofte.
      En ordliste er ikke noe slik som ‘norske synonyme ordliste’, eller ‘english enclypedia’.
      Ja, du kan også bruke disse, men det er som regel ikke de som gir best resultat.
      For dette så benyttes ordliser over ‘lekket’ passord.
      Eksempel på dette er adobe lekasjen for litt siden.
      Alle passordene i denne listen er puttet i en ordliste som mange av de store aktørene i kodeknekking benytter.
      Slike ordlister er fundamentet på suksess, og deles veldig sjelden.
      (Altså, du har nå flere millioner med passord som du ‘vet’ har blitt brukt. Hvor mye er ikke en slik liste verdt i forhold til en vanlig ordbok?)
      (Så du må forstå at en stor passord-lekasje er ikke bare ødeleggende ved at personer nå kan logge inn med din info, men selv om alle passordene blir tilbakestilt av selskapet, og du må generere nye, så har en liste over ‘ofte’ benyttet passord blitt ‘frigjordt’.
      Med hver lekasje så blir altså alle framtidige forsøk på å knekke passord betydelig enklere.)

      JTP kan kombinere flere ordlister også.
      Du kan ha én som har oversikt over de mest brukte små-bokstav ordene, mens en annen med tall. Så kan du linke de sammen.
      F.eks. Så er 007 en veldig mye brukt tallkombinasjon.
      Fort kan du altså gjette deg fram til at noen bruker: banana007 som passord med JTR.

      Det er morro at de prøver seg, jeg har en RPi som ikke gjør noe annet enn logger forsøk på ssh for å logge inn som ‘root’. Den brukeren eksisterer ikke engang 😉
      Denn loggen blir så direkte oppdatert og har en nettside som viser på google maps hvor innloggingsforsøkene kommer fra.

      For en vanlig boks, så kan du bruke ‘fail2ban’ for å begrense disse forsøkene.

      (Beklager alle grammatiske feil 🙁 )

    • Allan (svar til g.o.)

      Hehe, ja morsomt å se alle finurlige brukere de tester med. Har også sperret root, så de må bare teste i vei 😉
      Godt innlegg 🙂

  4. Når det gjelder sikkerhet, så holder det vel ikke bare å ha et godt passord?

    Hvis noen er ute etter f.eks. hva som er på dine krypterte hdd, så kan jo pcen infiseres med en keylogger.

    Skal man beskytte seg så hjelper jo alle tiltak, men man bør forsøke å beskytte seg i alle ledd.

    Svar på denne kommentaren

  5. Kasper Ludviksen

    Blir snakket så mye om passord og blablabla, hvorfor har dere ikke bare samme passordet, men forskjellig e-postadresse til de forskjellige stedene, da har det null å si om du mister passordet ditt………ha en fortsatt god dag, jeg vet jeg blir beskyldt for å være smart

    Svar på denne kommentaren

  6. Husker jeg brukte en ganske lang setning på PGP en gang på 90-tallet, men vekslet litt fra det synspunktet til et mer at alle systemer burde være åpne og uten passord, men tilbake igjen til litt mer moderate synspunkter hvor grei men enkel sikkerhet er det beste 🙂

    Jeg har aldri kastet meg på 2-faktor bølgen og liker det ikke fordi det er en tidstyv, selv om det er en nødvendighet å forholde seg til det når f.eks. nettbanker bruker det, Men det koster tid, irritasjon og resulterer i noen få purregebyr i året. Hvor ofte kan det egentlig skje noe ille, og hvis man regnet på det hvor mye måtte jeg evt. ha betalt i en «forsikring» for å få enklere sikkerhet … det er jo bare et regnestykke tross alt ?

    Det er mange risker som må håndteres med forskjellig skadepotensiale, det er ikke så lurt å ensidig fokusere på teknisk sikkerhet. Men en kjede er ikke sterkere enn det svakeste lenken, … alle ganske enkelt må bare stole på at folkene man har ikke vil selskapet noe vondt.

    På mange powerpoints om sikkerhet prøver man å imponere med store tall, men vi vet jo at vi bruker tid hver dag på sikkerhet, noen ganger mister vi mange timer med arbeid og det i en normalsituasjon. Høye tall imponerer ikke når den trygge normalsituasjonen koster 1000-gangeren.

    Det er ikke noen krav til kronglete sikkerhet for at det skal regnes som et datainnbrudd, men selfølgelig på noen områder er kravene mer konkrete og skadepotensiale så høyt at det nødvendiggjør et høyt nivå enn at det er tydelig at noe er låst inn.

    Jeg håper på en mer pragmatisk fremtid og at hovedfokus blir på løsninger som er fabelaktige å bruke.

    Svar på denne kommentaren

  7. Hjelper jo lite med et komplisert passord dersom du frivillig deler dette med «IT fyren» som ringer deg på jobb og sier han trenger det.
    Det er vel den enkleste og vanligste måten å «hacke» en bedrift på. Eller eventuellte å «miste» en USB stick utenfor hovedinngangen og vent på at noen aktiverer den….

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.