Et godt password skal helst bestå af en kombination af små og store bogstaver, tal og specielle tegn, det skal være på mindst otte tegn og så skal det kunne læres udenad, så man ikke behøver skrive det ned. Det perfekte password er en helt tilfældig rækkefølge af tegn, men de fleste af os har svært ved at huske den slags. Og hvis man tilmed har 20 forskellige passwords, og de alle skal skiftes ud mindst en gang om måneden, så bliver det hurtigt uoverskueligt.
Derfor er det mange, der ender med at anvende sit brugernavn, fornavn eller andre navne eller numre, der kan forbindes med en selv. Det er nemt at huske, men desværre også nemt at gætte.
ComON har bedt sikkerhedsekspert Ole Schmitto fra eSec om at komme med gode råd til, hvordan man kan vælge gode og sikre passwords.
»Min egen holdning til passwords er at man skal have tre-fire forskellige som anvendes i forskellige sammenhænge, alt efter risikoen for, at de gættes og misbruges. Jeg mener godt, at alle passwords kan være af en type som ikke lige er til at gætte, altså hvor man blander tal, bogstaver og tegn på en måde så det ikke kan slås op i en password-knækker, som typisk jo baserer sine gæt på en bagvedliggende ordbog,« siger Ole Schmitto.
Han opdeler sine passwords i fire forskellige kategorier:
1. Et site som bare ønsker et brugernavn og password, men som ikke indeholder personlige oplysninger som ikke andre må kunne få fat i. Her kan man anvende et password som er nemt at huske.
2. Et site hvor brugeren måske deltager i diskussioner, men ikke noget der direkte kan skade en selv.
3. Private emails og sites hvor man nødig vil have andre ind.
4. Penge-transaktioner, her mener Ole Schmitto at der både skal være et password som er meget sikkert, og dernæst skal der også helst være en form for ting man skal være i besiddelse af for at foretage en transaktion, som f.eks. et certifikat lokalt på maskinen.
Et password kan jo også godt være et billede, som man kan huske, som for eksempel G>29v8 = GåtilNivå. Dette er et simpelt password, som har nogle af de mere sikre elementer, men man skal stadig huske at der findes programmer som kan erstatte bogstaver med tal, og derved gætte sig frem.
»Man skal også huske at de fleste brugernavne og password jo ligger på en database på webserveren, og der vil jo være personer som har adgang til disse data. Hvis ikke password feltet er krypteret i databasen, vil en administrator jo altså kunne se passwordet. og derved bruge dette på andre sites som man kan formode har brugt samme type,« siger Ole Schmitto.
Hos mailtjenester som Yahoo og Gmail er brugernavnet ofte lig med mailadressen, og derfor er kodeordet det eneste, som forhindrer uvedkommende i at få adgang til dine mails.
»Dernæst har disse services som er gratis og ofte uden for Danmarks grænser måske en anden form for moral. Der er jo et eksempel på en kinesisk Yahoo bruger der blev anklaget for en email som lå i hans Draft boks, altså ikke afsendt, så e-mails af vigtig karakter skal man nok ikke lægge på mailservere som er uden for ens kontrol,« slutter han.
Premium
Københavns Kommune ansætter sin første CISO nogensinde: Skal bygge it-afdelingen op omkring 45.000 ansatte