Passord og brukerkontoer
Passord og brukerkontoer
av Ole Petter den 23. januar 2020
Sist oppdatert: 5 februar, 2020 kl 11:09Contents
Introduksjon
For å benytte tjenester på internett kreves ofte autentisering, det vil si at nettsiden eller applikasjonen vet hvem som besøker siden. Identiteten man har på tjenesten brukes til å lagre opplysninger, og passe på at rette vedkommende får tilgang til rett informasjon.
Ved hjelp av et brukernavn og passord kan man redigere kontoopplysninger, kjøpe tjenester og mer. Derfor er det viktig at kunden har gode rutiner for opprettelse av sterke passord, samtidig som tjeneren har gode rutiner for oppbevaring av passord og brukerinformasjon.
Hvis brukeren har et sterkt hemmelig passord, og tjeneren har gode løsninger for oppbevaring av brukerinformasjon og autentisering, er løsningen sikker.
Dessverre er det svært sjelden at disse to kriteriene oppfylles samtidig. En populær metode for å svindle brukere på internett, er å sende ut eposter med falske innloggingssider, såkalt phishing.
Hvis brukeren som blir utsatt for et phishing-angrep bruker samme brukernavn og passord på mange ulike nettsider og tjenester, er vedkommende svært utsatt for informasjonssvindel.
Tiltak mot svindel
Lage gode passord
Det er ofte vanskelig å komme på gode passord, men det fins en rekke feil som må unngås. Nedenfor er de mest vanlige feilene ved opprettelse av passord listet opp.
Dårlige passord er sårbare for hackerangrep, og spesielt utsatt er personer som bruker svake passord universalt, altså samme passord på alle tjenester.
Hackere kan bruke ulike teknologier for å knekke passord, alt fra social engineering til brute force og ved å kjøpe brukerpassord på internett
Unngå passord med personlig informasjon
En vanlig praksis er å knytte passordene til noe man relaterer seg til, slik som for eksempel bursdager, navn på barn, hobbyer også videre. Problemet med dette er at ved hjelp av social engineering, offentlige registere og sosiale medier kan hackere relativt enkelt få tilgang til disse opplysningene.
Unngå vanlige passord
Hvis man ikke lager passord basert på personlige egenskaper og informasjon, er det ofte man tyr til relativt vanlige passord som mange andre bruker.
Vanlige passord er «abc123», «qwerty», «passord» og lignende, og det finnes en oversikt på nettet over slike passord basert på resultater av hackerangrep og tjenester som har solgt brukerne sine passord.
Unngå ordlistepassord
En teknologi hackere bruker for å finne frem til passord er å bruke såkalte ordlisteangrep, som skal knekke passord basert på vanlige ord og kombinasjoner av disse med tall og symboler.
Eksempler på ordlistepassord er «Fotball», «Ørn», Liverpool» og liknende.
Ikke bruke korte passord med enkle tegn
Denne typen passord er utsatt for brute force angrep, og kan kombineres med ordlisteangrep, som kalles for hybridangrep.
Unngå gjenbruk av passord
Kanskje det største problemet med passord er at veldig mange bruker samme passord ulike steder. Da er alle kontoene til brukeren utsatt hvis en av kontoene blir stjålet, og passordet må da endres alle steder.
Dette blir fort mye arbeid, for som regel har man et titalls brukerkontoer på ulike tjenester, og alle er potensielt utsatt for misbruk. Hvis man har en universalnøkkel til ulike bygninger og mister denne, har uvedkommende da tilgang til alle disse bygningene. Hvis man kun har en ordinær nøkkel for hver bygning, er kun en bygning utsatt for tyveri.
Hackere vil ofte gå etter tjenester som ikke har høy sikkerhetsprioritering hos brukere, slik som forumsider og nettspill. Ofte vil brukere bruke samme passord på disse tjenestene som på mer sensitive tjenester som sosiale medier, nettbutikker og lignende.
Begrensninger i systemene
Uansett hvor mye man som bruker på nettjenester jobber for å lage avanserte passord som er lette å knekke, har det ingenting å si hvis systemene som skal passe på disse passordene feiler.
Ofte prøver systemer og tjenester å hjelpe brukerne med oppretting og gjenoppretting av passord. Ulempen med dette er at passordene som opprettes for brukeren kan være vanskelig å huske, samtidig som de kan være relativt enkle for hackere å knekke.
Hvis man har et standardpassord overalt, og en tjeneste som egentlig sikrer passordene godt blir utsatt for et avansert hackerangrep, kan disse passordene lekke på internett eller brukes av hackere til svindel.
Passordregler
Mange systemer krever at passord følger visse regler, for eksempel minst ett tall, ett symbol, en stor bokstav og små bokstaver. Ulempen med dette er at brukere ofte velger et kortest mulig passord som oppfyller disse kriteriene.
Dessuten er det enkelt for hackere å utnytte dette oppsettet til å finne ut hvordan passordene blir opprettet, hvor lange passordene er og hvilke passordkombinasjoner som må testes.
Byttetvang
En del systemer tvinger brukere til å bytte passord etter en viss tidsperiode. Ulempen med dette er at brukere av disse systemene ofte bare endrer siste symbolet eller første symbolet i passordet, for enklere å huske det.
Eksempler er å bytte fra «passord1» til «passord2», «roger3» til «roger4» også videre. Det er da svært enkelt for en hacker å gjette det nye passordet basert på det opprinnelige passordet.
Førstegangspassord
Noen tjenester oppretter et passord for brukeren når personen oppretter en konto, istedenfor at brukeren velger passord selv. Meningen er at brukeren skal skifte passord til et nytt så snart som mulig, men mange brukere velger å la passordet være uendret, og bruke dette passordet på andre steder.
Dette har mange ulemper, blant annet fordi systemer ofte bruker standard maler for disse passordene, og som nevnt i forrige avsnitt velger ofte brukerne å bare legge til et nytt siffer eller symbol etter dette standardpassordet.
Metoder og verktøy for å knekke passord
Mye av passordknekkingen er automatisert ved hjelp av dataverktøy, slik at store mengder passord kan testes kjapt og effektivt. Mange slike verktøy er offentlig tilgjengelig, slik at hvem som helst kan bruke de.
Formålet med slike verktøy er egentlig at brukere kan teste hvor sikre passordene sine er, men ofte misbrukes disse tjenestene. Et slikt verktøy er «FreeWordExcel».
Brukerhåndtering av passord
Et populært verktøy er passordhåndtering, som skal samle brukeres passord og gjøre det enklere å holde oversikt over brukerkontoer. Dette er et nyttig, men risikabelt verktøy fordi hvis uvedkommende får tilgang, er det veldig enkelt å få tilgang til alle disse kontoene og eventuelt svindle offeret.
Nettlesere tilbyr også å lagre passord når man logger inn på nettsider. Hvis man låner en annen sin pc eller bruker en offentlig datamaskin, er dette en sikkerhetsrisiko.
Tjenesters håndtering av passord
Hvis man glemmer passordet sitt på en tjeneste, kan systemet som tilbyr tjenesten gjøre ulike ting for å hjelpe brukeren, og disse metodene kan ofte være den største sikkerhetstrusselen hos disse tjenestene.
Formålet med passord er å gi rette vedkommende tilgang til de rette tjenestene, og hvis man tilbyr hjelp dersom man mister passordet, er dette med på å øke sikkerhetsrisikoen. Hackere kan misbruke dette på flere måter.
Glemt passord
Ved glemt passord vil man ofte få tildelt informasjon via epost, og derfor er det kritisk at ingen andre har tilgang til din epostkonto eller passordet til epostkontoen. Hvis dette er tilfellet, kan uvedkommende endre ditt passord og gjenopprette brukerkontoer for deg.
Passordhint
Et sikkerhetstiltak kan være et personlig kontrollspørsmål brukeren oppretter ved registrering av en konto, og som brukes til å kontrollere at rette vedkommende prøver å gjenopprette sin konto eller endre passord. Det er svært enkelt for hackere å finne informasjon som kan brukes til å svare på disse kontrollspørsmålene, enten på sosiale medier eller offentlige tjenester og lignende.
Det lureste er å ikke knytte kontrollspørsmålene til passordet, og heller fylle kontrollspørsmålene med informasjon som ikke gir mening. Passordet bør istedet oppbevares på et svært sikkert sted i tilfelle man skulle glemme det.
Klartekstpassord
Noen tjenesteleverandører presterer utrolig nok å lagre passord i klartekst, og dette kan særlig bli problematisk ved bruk av universalpassord.
De fleste seriøse aktører unngår dette, men bruker i stedet en enveis krypteringsteknikk, og passordet lagres som en hash, altså som symboler og tegn som ikke gir mening i seg selv.
Ved bruk av en krypteringsnøkkel kan passordet krypteres med samme metode og deretter sammenliknes med det krypterte eller hashede passordet, og hvis de korresponderer kan brukeren logge inn. Hash-koden kan altså ikke ikke dekrypteres, men passordet som skrives inn kan krypteres ved samme metode.
En annen fordel er at ansatte hos tjenesteleverandøren selv ikke heller får vite passordene til brukerene av tjenesten.
To-faktor-autentisering
To-faktor-autentisering betyr enkelt forklart man bruker noe man har, for eksempel en kodebrikke, og noe man vet, for eksempel et brukernavn og passord, til å logge inn på en tjeneste.
Dette innebærer at selv om uvedkommende får tilgang til ditt brukernavn og passord, kan de ikke umiddelbart bruke kontoen din. For å logge inn må man i tillegg godkjenne innloggingen ved hjelp av en tallkode på sms, en midlertidig kode fra en kodebrikke, eller lignende.
BankID er et godt eksempel på to-faktor-autentisering, hvor man må logge inn med fødselsnummer, passord og en midlertidig kode fra kodebrikken.
To-faktor-autentisering bør brukes der det er mulig, siden det er langt sikrere enn konvensjonell innlogging ved hjelp av brukernavn og passord.
Skadevare - Progitek Informasjonssikkerhet, programmering og teknologi
[…] Passord og brukerkontoer […]