Brukertips: Skaff deg et bedre passord

Den enkleste og billigste måten å sikre informasjonen på PCen på, er ved å legge litt arbeid i valg av passord, endre dem ofte, og alltid bruke dem. Tipsene i denne artikkelen viser deg hvordan du sørger for at passordene dine er sikre. Noen av tipsene gjelder ikke PCer i nettverk hvor administrator bruker sine egne passord-policies.

Tving frem sikre passord

Windows 2000 og XP lar deg lage passord med stort sett en hvilken som helst sammensetning av bokstaver eller tall. Det som er enda verre, er at begge operativsystemene tillater at du ikke bruker passord i det hele tatt. Heldigvis kan du sette opp Windows XP til å kreve at alle brukerkontoer benytter sikrere passord, ved hjelp av verktøyet Lokal sikkerhetspolicy (Local Security Settings). Klikk Start, Kontrollpanel, (ytelse og sikkerhet i kategorivisning), Administrative verktøy, Lokal sikkerhetspolicy. Disse trinnene kan variere litt fra PC til PC. Hvis du er på en PC som ikke er tilknyttet et bedriftsnettverk, kan valget hete Lokale sikkerhetsinnstillinger.

Klikk på plusstegnet ved siden av «Kontopolicyer» i vinduet Lokale sikkerhetsinnstillinger. Velg deretter «Passordpolicy». Du er nå klar til å leke passordpoliti!

Minimumslengde: For å kreve at alle brukere velger et cracker-sikkert passord, dobbeltklikker du på «Minimal passordlengde» i vinduet på høyre side (hvis du ikke ser det, sjekk at du har valgt «Passordpolicy» i trestrukturen på venstre side). Spesifiser antall tegn som skal være i passordet. Dette kan være et hvilket som helst tall mellom 1 og 14, men for å være i tråd med Microsofts anbefalinger bør passordet være på minst 6 tegn. Klikk deretter OK.

Kompleksitet: Dobbeltklikk deretter «Passord må møte kravene». Velg Aktivert, og trykk OK. Dette betyr at passord må inneholde tegn fra minst tre av de følgende kategoriene: store bokstaver, små bokstaver, tall, og symboler. Passordet kan heller ikke inneholde navnet på brukerkontoen din. Bruk heller ikke hele eller deler av e-postadressen din i passordet (selv om Windows ikke vil hindre deg i å gjøre dette).

Du må gjøre passordet vanskelig å gjette, men det må også være enkelt å huske. En metode er å forkorte en frase, for eksempel «PCWer#1ino» («PC World er nummer 1 i Norge»).

Passord som går ut: Det lønner seg å bytte passord innimellom. For å unngå at passord blir gamle, dobbeltklikk på «Maksimal passordalder» og spesifiser antall dager det skal gå før Windows krever at brukeren bytter passord. Standardverdien på 42 bør være passende i de fleste tilfeller. Etter at du har tastet inn en ny verdi, trykker du OK.

Unngå «passordreprise»: For å hindre brukerne i å bytte mellom de samme to passordene hver gang de blir bedt om å bytte passord, dobbeltklikker du «Tving passordlogg» og taster inn antall passord som Windows skal logge. Taster du for eksempel inn 8, vil ikke brukerne være i stand til å bruke noen av sine siste åtte passord på nytt når de blir bedt om å bytte passord. Klikk OK når du er ferdig.

Du kan også sette et minimum antall dager som det nye passordet må brukes, i tilfelle noen bestemmer seg for å prøve å endre passordet sitt mange ganger på én dag, inntil de når antallet passord i passordloggen, slik at de kan bytte tilbake til sitt gamle passord. For å gjøre dette, dobbeltklikk på «Minimal passordalder», tast inn antall dager, og klikk OK.

Unngå motsatt kryptering: Du er kanskje fristet til å skru på den siste valgmuligheten i passordpolicy-vinduet, «Lagre passord med motsatt kryptering». Denne innstillingen instruerer Windows om å lagre passordet ditt også i klartekst. Motsatt kryptering fungerer imidlertid kun med applikasjoner som krever tilgang til Windows-passordet ditt. Så lenge du ikke har noen slike applikasjoner, vil systemet ditt være sikrere hvis du lar motsatt kryptering være deaktivert. Dette er også standardinnstillingen.

Utestenging: Som standard kan hvem som helst som prøver å logge inn på kontoen din, taste inn ulike passordvariasjoner inntil de til slutt lykkes. Denne såkalte «brute force»-metoden for passordknekking er spesielt aktuelt hvis PCen din er satt opp med mulighet for fjerntilgang. En måte å hindre slike angrep på, er ved å begrense antall forsøk før systemet nekter å akseptere flere passord (riktig eller ikke). For å gjøre dette, klikk på «Policy for låsing av konto» på venstre side i «Lokale sikkerhetsinnstillinger» (under «Kontopolicyer»). På høyre side dobbeltklikker du så på «Terskelverdi for låsing av konto». Tast inn antall mislykkede passordforsøk som systemet skal tillate, før brukeren blir utestengt. Ett eller annet mellom 3 og 5 virker fornuftig, avhengig av hvor slurvete du er på tastaturet.

Når du endrer denne innstillingen, resetter Windows automatisk de to andre policyene for låsing av kontoer til 30 minutter hver: «Varighet for låsing av konto» kontrollerer hvor lenge man er utestengt fra å gjøre forsøk på å taste inn passord, mens «Tilbakestill teller for låsing av konto» bestemmer hvor lenge systemet skal vente før den begynner å telle nye forsøk fra null. For å endre en av disse, dobbeltklikk, tast inn ønsket antall minutter og klikk OK.

Unntak for passordalder: Hvis du har en sjelden brukt administratorkonto som du trenger kun til kriseformål, kan det hende du ikke ønsker at dette passordet skal gå ut. For å gjøre et unntak fra de policies vi har beskrevet, går du på Start-menyen, velger Kjør, og taster deretter inn lusrmgr.msc. Dobbeltklikk på «Brukere». Deretter dobbeltklikker du på kontoen som har det passordet du ikke ønsker skal utgå. I Egenskaper-dialogboksen for den kontoen, krysser du så av i feltet «Passordet utløper aldri». Klikk deretter OK.

Gi påminnelser: Du kan advare brukere om at passordet utløper snart, ved å gjøre endringer i Registeret. En hvilken som helst endring i Registeret innebærer en risiko for problemer, så ta sikkerhetskopi først. Når du har gjort dette, går du på Start-menyen og velger Kjør. Deretter taster du inn regedit og trykker Enter. På venstre side navigerer du til HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. På høyre side dobbeltklikker du på «passwordexpirywarning» (hvis den ikke ligger der, høyreklikk, velg Ny, DWORD-verdi,og tast inn navnet i tekstfeltet. Klikk på valget «Desimal». I feltet «Verdidata» taster du inn antall dager før passordet går ut, som du ønsker å påminne brukerne om å endre passord.

Les videre om: XPs passord-administrator