Digitale virkemidler gjør stort sett livet enklere. Vi trenger ikke lenger gå i banken for å betale regninger. Vi kan handle det aller meste på nett istedenfor å oppsøke fysiske butikker. Vi mottar viktig informasjon på e-post og digitale postkasser, sender søknader over nett og holder kontakten med venner og kjente på sosiale medier. Men kriminelle har også tatt i bruk digitale virkemidler for å svindle og lure oss. Nettbasert kriminalitet øker stadig i omfang og hackere finner stadig nye metoder for å lure både bedrifter og privatpersoner. Et godt passord er viktig for å holde hackerne unna.
Vanlige metoder som brukes for å hacke passord
For å forstå hvordan man lager et godt passord, kan det være lurt å vite litt om hvilke metoder hackere bruker for å hacke passord.
Brute Force
Brute Force er den enkleste metoden hackere bruker for å få tilgang til andres kontoer. Brute Force går ut på å gjette passord gjentatte ganger, helt til man gjetter riktig. En «bot» (programvare som automatisk forsøker ulike kombinasjoner) kan gjette cirka 350 milliarder ganger per sekund.
Hvordan forhindre Brute Force?
- Minst 12 tegn (helst lenger): Passord på mindre enn 12 tegn er sårbare for Brute Force. En bot som kan gjette 350 milliarder ganger per sekund trenger ikke mer enn 5,5 timer på å forsøke alle mulige kombinasjoner i et passord som er åtte tegn langt (inkludert små og store bokstaver, tall og spesialtegn). Jo lengre passord du har, jo bedre.
- Bruk passordadministrator (Password Manager) hvis du sliter med å huske passordene dine: Det kan være vanskelig å huske et passord på har 15 tegn som inneholder tall, spesialtegn, samt store og små bokstaver. En passordadministrator husker passordene dine for deg. Det eneste du må huske er passordet til passordadministratoren – og dette passordet bør selvsagt være så sikkert som mulig.
Dictionary Attack (ordbokangrep)
Det holder dessverre ikke å ha et langt passord dersom du bruker vanlige ord som finnes i ordboken. Dictionary Attack (ordbokangrep) er en form for Brute Force som går ut på å gjette passord basert på ord som finnes i en predefinert liste av ord, som for eksempel en vanlig ordbok. Svært mange bruker vanlige ord som passord, noe hackere utnytter i et slikt angrep.
Hvordan forhindre Dictionary Attack?
- Unngå å bruke ord som finnes i ordbøker: Velg heller uvanlige ord eller ordkombinasjoner. «Verdensrommet» er et ord på 13 tegn, og ville vært vanskelig å hacke med vanlig Brute Force. Men fordi verdensrom finnes som bøyd form i ordboken, kan hackere bruke en liste av ord fra norsk ordbok til å gjette passordet. VerdensrommetOstekake er derimot en uvanlig ordkombinasjon, men ikke sikkert nok i seg selv.
- Bytt ut bokstaver i ord med tall og spesialtegn: For å beskytte seg mot Dictionary Attack kan man bytte ut bokstaver i et ord med tall og spesialtegn. Men ikke bero på åpenbare utbytter, som f.eks. «Verdensr0mmet». Et bedre forslag vil i så fall være noe slikt: «v3Rd3N5r0Mm37», eller enda bedre: «v3Rd3N5r0Mm37-05T3kAk3!». Her brukes flere ord med små og store bokstaver, samt tall og spesialtegn. I tillegg er passordet på mer en 12 tegn.
- Bruk passordadministrator (Password Manager) hvis du sliter med å huske passordene dine: Det kan være vanskelig å huske et passord på har 15 tegn som inneholder tall, spesialtegn, samt store og små bokstaver. En passordadministrator husker passordene dine for deg. Det eneste du må huske er passordet til passordadministratoren – og dette passordet bør selvsagt være så sikkert som mulig.
Nettfiske (phishing)
Nettfiske går ut på å lure eller true til seg informasjon, som oftest ved hjelp av e-post, SMS, telefonoppringning og falske nettsider. En hacker kan for eksempel sende deg en e-post og utgi seg for å være fra banken din, hvor de hevder at noe er galt med ditt kredittkort. Videre har de kanskje laget en nettside som ligner bankens, der de ønsker at du skal oppgi passord eller andre personlige opplysninger. Det hjelper lite med et godt passord, hvis de får tilgang til det på denne måten.
Hvordan unngå å bli utsatt for nettfiske?
- Ikke send personlig informasjon på e-post.
- Forsikre deg om at avsender er reell: Se nøye på selve e-postadressen, URLen eller sjekk at telefonnummeret tilhører selskapet.
- Se etter SSL-sertifikat. Les mer om SSL her: «Hva er SSL»
Det kan også være lurt å gi beskjed til selskapet om forsøk på «phishing». Da kan selskapet gi beskjed til sine kunder og forhindre at andre blir lurt. Kripos oppfordrer også alle til å anmelde både kriminalitet og forsøk på kriminalitet. Les mer om dette på Nettvett.
Oppsummering: Slik lager du et godt passord
- Velg et passord som har flere 12 tegn – men gjerne fler.
- Unngå å bruke vanlige ord som finnes i ordbøker.
- Unngå å bruke fødselsdatoer, navn, postnummer, telefonnummer eller annen personlig informasjon.
- Unngå å bruke gjenkjennelige mønstre eller bokstaver som ligger rett etter hverandre på tastaturet (som qwerty).
- Bruk små og store bokstaver.
- Bytt ut bokstaver med tall og spesialtegn – men ikke hvil deg på vanlige utbytter.
- Bruk «Random Password Generator».
Eksempler på sterke passord
tm8*B3Fq5[^?TccW
c5[pU7)?)jM38K*V
DYE&E}NG7g@CwU~^
2g@64]WCwQjut[c-
$srys(&5uX`^9e7W
Eksempler på svake passord
12345
123456789
987654321
Qwerty123
asdf1234
passord
passord123
Hvordan skal jeg huske passordet?
Det tryggeste er å huske passordet og unngå å skrive det ned. Unngå å la nettleseren lagre passordene for deg dersom du sliter med å huske egne passord. Bruk heller en sikker en passordadministrator (Password Manager) til å lagre og beskytte dine passord. Du må dessverre likevel finne på et sikkert passord til denne kontoen og ikke minst – huske det.