Slik lager du et godt passord

Sikkerhetsrådgiver Per Thorsheim mener det blir feil å skylde på sluttbrukerne når det gjelder dårlige passord.

Frank Johnsen
Publisert Sist oppdatert

Per Thorsheim er sikkerhetsrådgiver med lang erfaring fra bransjen og lidenskap for passord.

Han mener det blir feil å skylde på brukerne for at de velger dårlige passord, og har full forståelse for at brukerne har viktigere ting å tenke på enn hvordan man skal lage og skifte passord.

- Det blir feil å si at sluttbrukerne er dumme. Vi må være litt mer konstruktive enn det. Det vi istedet bør spørre oss er hvorfor tjenesteleverandører lar brukerne opprette slike dårlige passord i første omgang, mener Thorsheim.

Får man lov til å lage «12345» som passord, så har ikke tjenesteleverandøren gjort jobben sin og ikke tatt til seg sikkerhetsanbefalinger for fornuftig sikkerhet, mener han.

Enkel regel for gode passord

Likevel er det jo flere enkle grep sluttbrukere kan gjøre for å opprette et godt passord, som gjerne også kan brukes flere steder - så lenge passordet er litt gjennomtenkt, og personlig.

- Det er bra å bruke en kort setning av positiv karakter, noe du har lyst til å huske, som for eksempel «Jeggledermegtiljulaften!», sier Thorsheim.

Det er jo ikke uvanlig at man bruker samme passord på flere steder, noe som får mange sikkerhetsrådgivere til å vri seg i stolen. Men det er ikke så farlig, mener Thorsheim.

- Bruker du slike passord, og i tillegg skriver det på dialekten din, da blir det et super-dupert passord, sier han.

Og har du først tatt i bruk en slik god regel for passord, er det heller ikke nødvendig å bytte det jevnlig overalt.

- Har du først laget et godt passord, så er det tull å bytte det jevnlig. Det er unødvendig, sier Thorsheim.

Tok over bedriften på én dag

Med dårlige passord holder det lite uansett hvor mange andre sikkerhetstiltak man har på plass.

Eksempelvis forteller Thorsheim om en gang han var hyret inn for å utføre penetrasjonstesting for et gigantisk konsern.

I løpet av én dag hadde han tatt kontroll over hele domenet i bedriften, bare på grunn av en administrator som brukte «password» som passord.

- Jeg tenkte at på tross av all sikkerheten i bedriften, så står og faller det hele på én administrator med dårlig passord, legger han til.

Så ikke la deg friste til å bruke dårlige passord selv om du får lov av systemet. Bruk Thorsheims regel eller finn på din egen.

sikkerhet computerworld