5 gode råd for trygge passord

For et par år siden begynte Netflix-kontoen min å oppføre seg rart. Listen over filmer jeg har sett besto plutselig av et titalls asiatiske filmer jeg åpenbart ikke hadde sett og det var ville vært overraskende om barna mine skulle ha fått en plutselig interesse for Bollywood. Før jeg rakk å snu meg kom det også en mail om at kontoen min var utvidet så flere kunne se samtidig. Her var det ingen tvil, passordet mitt var ikke spesielt hemmelig lengre.

Heldigvis er ikke Netflix en tjeneste med mye personopplysninger og ikke gir det mye muligheter for å gjøre skade. At noen et annet sted i verden får innblikk i min dårlige filmsmak plager meg fint lite, men jeg skyndet meg å endre passord og varsle Netflix.

Denne hendelsen er ikke unik og alle må påregne å bli utsatt for passordlekkasjer en eller annen gang. I tillegg til at du selv kan være kilden til lekkasjen vet vi at kjente leverandører som Apple, Google, LinkedIn og nevnte Netflix har fått lekket brukernavn og passord. Derfor vil jeg komme med noen tips for god passordhygiene som andre forhåpentligvis kan ha nytte av.

Sikre passord

Et sikkert passord bør være på minst 8 tegn og bestå av store og små bokstaver, tall og spesialtegn. Lett gjettbare elementer skal unngås. Eksempler på lett gjettbare elementer er navn, families navn, postnummer, fødselsdato.

Et vanlig tips er å sette sammen passord ved hjelp av en setning for å enklere huske det. Et eksempel til Netflix-kontoen kan være «Nå vil jeg se en klassiker med Jim Carrey!», som kan forkortes til passordet «Nvjs1kmJC!». Gjetter du det passordet er du god!

Ulike passord på ulike tjenester

Ikke bruk et standardpassord på alle tjenester du bruker! Bruker du samme passord over alt vil en lekkasje hos en tjeneste gi tilgang til alle andre tjenester du bruker. Skadepotensialet blir enormt og ryddejobben stor.

Skulle du likevel falle for fristelsen og synde mot dette så må du i alle fall sikre epost-kontoen din med et annet passord. Omtrent alle tjenester har en funksjon som heter «glemt passord» som sender en lenke på epost for å endre passord. I praksis betyr dette at den som har tilgang til Eposten din også har tilgang til alle andre tjenester du bruker på nett.

I tillegg vil jeg nevne Facebook og nettbutikker med lagrede kredittkortopplysninger som risikable å bruke standardpassord på.

Og lov meg hvertfall at du ikke bruker samme passord privat som på jobb! Det er ingen grunn til at noen skal få tak i forretningshemmelighetene deres selv om Tinder har lekket passordet ditt.

Totrinnsverifisering (2FA)

Mange tjenester tilbyr totrinnsverifisering og det burde du bruke. Enkelt forklart er totrinnsverifisering et ekstra lag med sikkerhet i tillegg til passord. For eksempel kan du motta SMS på din bekreftede telefon, eller bruke koder fra en app eller brikke. Om du bruker 2FA vil passordet ditt være verdiløst for folk med ondsinnede hensikter, de trenger fortsatt mobilen din eller kodebrikken for å få tilgang.

Ditt passord er personlig

Passordene dine er personlige og bør ikke deles. En ting er om du deler Netflix-kontoen din med andre du stoler på, da er det en kalkulert risiko du bør være bevisst på. Noe helt annet er det når du sitter på jobb, der står du til ansvar for arbeidsgiver, leverandører og kunder. Du ønsker ikke at din brukerkonto er kilden til sabotasje eller lekkasje av forretningshemmeligheter.

Det er også verdt å nevne at IT-avdelingen eller andre leverandører ALDRI skal ringe og spørre om passordet ditt. Skjer dette bør alle varsellamper blinke og du bør undersøke nærmere.

Hva gjør du videre

Om du følger disse rådene har du gjort en god innsats for å sikre passordene dine. Men helt trygg kan du ikke være. En tjeneste jeg bruker er www.haveibeenpwned.com. Her kan du sjekke om epostadressen din står på lister over kjente passordlekkasjer og også sette opp varsel om det skjer i fremtiden. Du får naturlig nok ikke vite hvilket passord som er lekket, men ofte får du vite hvor lekkasjen stammer fra og kan dermed gjøre tiltak.

Om du bruker tjenester fra Visma.net, for eksempel Payslip, Expense eller Approval, er det mulig å legge til 2FA. Kontakt meg gjerne om du ønsker hjelp til dette.

Skrevet av Håvard Synnes – Fagansvarlig IT