En enkel setning er bedre enn et komplisert passord

Vi bruker dem alle sammen, flere ganger om dagen. Ideen om passord for å komme til datamaskinressursene våre er så å si like gammel som datamaskinene selv, og er selv i dag en helt sentral teknikk for å holde sikkerheten ved like. Det er de færreste pc-er, mobiler, programmer, apper, nettjenester og it-systemer på jobben som ikke er beskyttet bak passord.

Samtidig slurves det mye med passord, noe som ikke er rart, gitt antallet ting vi bruker daglig som krever passord. Vår menneskelighet gjør at vi hele tiden tar snarveier som gjør livet enklere, og det er særlig sant for passord. Dette er et problem, siden digitaliseringen gjør at vi bruker datamaskiner til mer og mer – også kritiske ting, som penger i banken, forretningskritiske it-systemer, og i noen tilfeller direkte livskritiske anvendelser.

Når dette skrives slår flere riksmedier stort opp artikler om passord på avveie som har rammet 600.000 nordmenn. Dette er imidlertid bare ett tilfelle, problemet er stort, økende og det finnes ingen indikasjoner på at dette vil bli bedre fremover. Det er på høy tid å ta skikkelig ansvar for sin egen passordsikkerhet.

«Alle» vet at en skikkelig passordstrategi er viktig for å bevare sikkerheten, men de fleste velger å tenke på noe annet når spørsmålet kommer opp. Hva er egentlig beste praksis for passord nå i 2019? 

Utdaterte råd

Har dere et regelverk for passord på jobben din? Kanskje dere må bytte passordet hver 90. dag, og bruke både små og store bokstaver i et minimum antall, i tillegg til spesialtegnene som finnes på nest øverste linje på tastaturet? I så fall lever du under et utdatert passordregime som selv mannen som skrev ned dette nå angrer på, og som forlengst har blitt erstattet av nye tilrådinger.

Dette regelverket har sin opprinnelse fra det amerikanske statsorganet National Institute for Standards and Technology, NIST. I dokumentet «NIST SP 800-63 Appendix A» fra 2003 skrev den gang mellomlederen Bill Burr ned disse reglene, som i ettertid har vist seg å bli «grunnloven» for passord. I et intervju med Wall Street Journal i 2017 sa Burr at «I dag angrer jeg på mye av det jeg gjorde den gang».

For eksempel var 90-dagersregelen for passordbytte knyttet til estimater for hvor lang tid det ville ta for datamaskiner å knekke passordene med rå makt - «brute force attack». I dag er kapasiteten til datamaskinene mangedoblet, og det er også mulig å leie enorme ressurser av skytjenestene til for eksempel Microsoft eller Amazon. Regelmessig passordskifte per 90 dager er i beste fall irrelevant, men egentlig helt feil, med tanke på hva den regelen skal beskytte oss mot.

Mange bruker dem likevel

Likevel praktiseres de gamle NIST-reglene for passord til stadighet. Reglene har vært der så lenge at de har oppnådd en status som en sannhet hugd i stein. Dette til tross for at NIST siden har kommet med flere nye utgaver av passordrådene side, de nyeste er i dokumentet «NIST SP 800-63-3» fra 2017, som altså er tredje utgave av dokumentet, så er 2003-rådene stadig i bruk, også i Norge.

– Jada. Magefølelsen og erfaringen, uten at jeg har gjort noen kontroller på det i det siste, så tror jeg nok at bedrifter og organisasjoner flest i Norge fortsatt kjører regelmessig tvungent skifte i hytt og pine, sier Per Thorsheim, it-sikkerhetssjef i Nordic Choice Hotels. Thorsheim er en internasjonal autoritet på akkurat passord, og er blant annet grunnleggeren av den internasjonale konferansen PasswordsCon.

Thorsheim, og mange med ham, mener at regelmessig påtvungent passordbytte gjør ingen ting for sikkerheten i dem, siden brukere flest ikke vil finne på et helt nytt passord hver gang, men bare lage en variant av sitt forrige.

– Så passordene er dårlige, og hackerne kan med hånden på brystet si at «vi vet ditt neste passord», for ditt neste passord er ditt nåværende passord pluss tallet 1 på slutten, fastslår Thorsheim.

De nye passordrådene

NIST lanserte altså nye tilrådinger til passordsikkerhet i juni 2017. Denne gangen var fokuset på å sette brukervennlighet i høysetet, slik at brukerne faktisk følger rådene som gis. Selve standarddokumentet der disse tilrådingene finnes er relativt langt, og skrevet i en litt omstendig og abstrakt stil.

Vi velger likevel å anbefale alle sikkerhetsansvarlige i bedriftene om å kjempe seg gjennom, mens vi nevner noen av de viktigste punktene her:

* Minimum 8 tegn i passord: NIST anbefaler lange passord, gjerne formulert som setninger (passfraser). Passordet må derfor tillates å inneholde ordskiller (space/mellomrom) og til og med emojier.

* Minimum 6 sifre i PIN-koder: Firesifrete PIN-koder er for svake, mens seks sifre regnes som tilstrekkelig for et normalt sikkerhetsnivå.

* Bruk multifaktor autentisering: Å ta i bruk flere autentiseringsfaktorer (se undersak) i tillegg til et passord høyner sikkerheten kraftig.

* Dropp komposisjonsregler: Å pålegge brukerne å legge inn spesialtegn, tall, store og små bokstaver og så videre, virker ikke. Da lager brukerne passord som ligner på hverandre. Passfraser er bedre.

* Dropp tidsavgrensning på passord: Dette handler om brukervennlighet, og det er ingen grunn til å skifte passord annet enn når de er glemt, phisket eller stjålet.

* Dropp passordhint: Om angriperen har kunnskap om offeret, kan passordhint bidra til at passordet knekkes. Det samme gjelder sikkerhetsspørsmål som brukeren setter opp.

* Bruk ordliste: NIST anbefaler å bruke ordlister med vanlige passord, slik at brukeren ikke tillates å bruke disse. De lærde strides om hvor lang denne ordlisten skal være, Microsoft Research mener de 1.000 til 10.000 mest brukte passordene skal blokkeres, andre peker på lister med opptil 600 millioner passord.

Passordadministrator

Det gamle rådet om å ikke bruke samme passord på flere steder, særlig på nettsteder, gjelder fortsatt. Det er en stor utfordring idag, siden vi bruker flere og flere nettsteder som bruker passord for at vi skal slippe til.

Sikkerhetstrusselen er naturligvis at nettsteder blir regelmessig angrepet, og det finnes vel knapt noe tall på hvor mange passord som er stjålet de siste ti årene. Det første angriperne gjør med disse brukerkontoene er å teste dem på andre, mer verdifulle steder. Om man bruker samme passord overalt, så har man gitt angriperne tilgang. Det er først etter en tid at brukerkontoene dukker opp til salgs på tvilsomme nettsteder.

Det er de færreste gitt å klare å huske flere titalls forskjellige passord, selv om det er setninger som lar seg uttale det dreier seg om. Den beste løsningen er å overlate dette til programvare. Både nettlesere og spesialisert programvare kan bistå her, og valget avhenger av hva slags utstyr du bruker.

Om du bare bruker Mac og Iphone vil den innebygde løsningen Keychain fungere på begge steder, og passordene kan synkroniseres mellom dem. Bruker du kun pc, vil passordlageret til nettleseren gjøre jobben for deg, men om du har blandet miljø, enten pc eller Mac og Iphone eller Android-mobil, vil en passordadministrator være nødvendig for å få tilgang til alle passordene overalt.

Eksempler på slike kan være de utbredte produktene Lastpass og 1Password, som lagrer passordene dine i krypterte databaser som du kan nå fra alle enhetene dine. Nyere versjoner av Android og Ios støtter også å få levert passord fra en passordadministrator rett inn i appene dine, slik at du ikke må taste dem inn manuelt der.

Beste praksis nå

Passordanbefalingene fra NIST er først og fremst rettet mot de som er ansvarlige for passordpolitikken og -praksisen i en virksomhet. Flere av rådene er imidlertid også gyldige, gode råd når vi agerer som privatpersoner, og det er all grunn til å sette seg inn i dem og ta dem i bruk.

På tampen lar vi vår passordekspert Per Thorsheim oppsummere med noen av sine råd til oss om god passordhygiene:

– Det jeg anbefaler alle, som også Norsis og NSM sier, er å bruke en enkel setning som passord. Husk at du kan bruke mellomrom, slik at du skriver en setning på norsk eller på dialekten din, om du vil. Poenget er at det skal være enkelt å huske, understreker han.

– På mobilen min bruker jeg en sekssifret PIN-kode og fingeravtrykk. Jeg vil si at sekssifret PIN-kode er mer enn godt nok for 99,9 prosent av oss hjemme i Norge, legger han til.

Når vi er privatpersoner kan vi godt bruke passordlageret som innebygd i nettleserne våre, men vi må skille mellom jobb og privatliv:

– Ikke la ansatte få lagre passordene til jobben på sin Google Chrome-profil. Det er fordi det vil mest sannsynlig være på deres private Google-konto. Da får du en litt farlig blanding av jobb og privat, som kan ramme både den ansatte og virksomheten, formaner Thorsheim.

Skrive ned passord

Siden mange nettsteder, særlig de store som folk flest bruker daglig, husker oss når vi kommer tilbake fra enheter vi har brukt der før, så mener Thorsheim at vi skal tillate oss lange og forskjellige passord. Men det regnes ikke som dårlig sikkerhet lenger å skrive dem ned, så dette anbefaler han, kanskje litt overraskende for mange.

– Det er viktig å ta med at det å skrive ned passordene dine på papir, er uendelig mye bedre å gjøre enn å bruke det samme passordet overalt. De passordene kan være veldig lange og komplekse og umulige å huske, men du skriver dem ned og lagrer dem på et passe trygt sted hjemme. Det er ingen som kan komme seg inn på kontoen din så lenge de ikke bryter seg inn i hjemmet ditt, understreker han.

Til sist kommer Thorsheim med en lite overraskende anbefaling, en vi har hørt i mange år fra forskjellige eksperter.

– Når du lager lange og gode passord, og skriver dem ned, så hever det passordsikkerheten, men jeg vil jo si at du bør jo uansett også ta i bruk to-faktor autentisering, sier Thorsheim.

Vi kommer til å måtte leve med passord i uoverskuelig framtid. Det finnes noen teknologier og teknikker som kan gjøre at vi får langt færre passord å forholde oss til, og disse skal vi se på i neste del av denne artikkelserien. Men en morgendag helt uten passord overhodet, har ekspertene på området ingen tro på.

– Det er en fin drøm, men det blir aldri en virkelighet, ferdig med den saken, avslutter Per Thorsheim, internasjonal passordekspert og it-sikkerhetsdirektør hos Nordic Choice Hotels.

Dette er den første artikkelen av to om passord og brukerautentisering. Andre del kommer i neste utgave av bladet, og handler om biometri og passordløse teknikker.