Hvordan løse passordproblemet?
Anders Smedstuen Lund
15.11.2019
sikkerhet

Du har sikkert hørt det før, bruk unike, lange og forskjellige passord på alle nettsider. Og helst slik at om noen får vite ett av dem, vet de ingenting om de andre.  

 

Siste jeg sjekket, hadde jeg over 150 ulike kontoer på datamaskiner, i apper og på nettsider. 150! Personlig har jeg ikke fotografisk hukommelse, og er heller ikke en spesialist på pugging.

 

Å skulle huske 150 unike, gode passord, som heller ikke skal relatere til hverandre, det kan jeg bare glemme med en gang. Så hva gjør man da?



Anders holder en tech talk om Sikker systemutvikling opp mot OWASP top 10 den 22. november.

 

Klikk på linken for å melde deg på. 

http://meetu.ps/e/Hlwcd/LPLn0/a 

Bruk biometri der du kan
 

Vi ser et skifte i markedet mot bruk av biometri eller til og med passordløs innlogging som finnes i for eksempel Azure. Det er bra. En fremtid uten passord er sannsynligvis både sikrere og mer brukervennlig.

 

"En fremtid uten passord er sannsynligvis både sikrere og mer brukervennlig"
 

Ja, du leser artikler om at forskere brøt den nye fingeravtrykksleseren eller ansiktsskanneren til iPhone på under ett døgn etter at den ble lansert, eller lekkasjer av fingeravtrykkavbildninger i England (ref: https://www.bbc.com/news/technology-49343774  ).

 

Men jeg mener at passordalternativet ikke er noe bedre. I hvert fall ikke for en stor bedrift der passordkreativiteten alt for ofte er godt under middels hos mange.

 

Og når du da i tillegg får en mer brukervennlig hverdag, da er svaret enkelt for meg. Bruk det der du kan!

 

 

Sett opp flere faktorer på de kontoene som betyr noe

På de kontoene som betyr noe, for eksempel Facebook, Dropbox og Office365, sett opp flere faktorer. Om du er med å administrere i en bedrift, tving alle brukere til å bruke det på de kritiske systemene og kontoene.

 

"Skal det gi noen gevinst av å bruke en passordhåndterer, så anbefaler jeg at du gjør følgende"

 

Bruk flerfaktor-autentisering via Authenticator-apper (tilbys av både Google og Microsoft) eller hardware autentiseringsnøkler alá Yubikey. Disse gjør at du må ha flere faktorer enn bare passordet ditt for å logge inn, for eksempel en kode fra Authenticator appen.

 

Så kan brukerne registrere sine trygge enheter, eksempelvis mobilen sin, som vil gjøre at man ikke trenger mer enn passordet sitt på disse enhetene i nærmeste fremtid. Da er ikke lenger brukervennlighet et problem.

 

Og for de som fortsatt skulle være i tvil, les her: https://www.digi.no/artikler/ungdom-er-siktet-for-a-ha-hacket-dagbladet/476870 .

 

 

Bruk en passordmanager

Du har sikkert hørt om de, passordmanager, passordhåndterer, passordhvelv. De går under mange navn. Der du kan huske ett passord, og la håndtereren huske de andre passordene for deg.

 

Noen er skeptiske, “Jeg stoler ikke på disse tjenestene til å ha kontroll på alle kontoene mine” hører jeg ofte blir argumentert.

 

Det er imidlertid flere gode argumenter mot den påstanden.

  • For det første er det svært sjeldent disse tjenestene blir hacket, og når det skjer er de meget raske til å fikse problemet, da tillit er deres viktigste salgsargument.
  • For det andre, disse tjenestene har aldri passordet ditt. Du kan ikke hacke serveren deres og hente ut passordene til andre som bruker tjenesten, fordi de kun lagrer passordet ditt kryptert med de beste algoritmene og med en nøkkel som kun du har. Og den nøkkelen, det er passordet du bruker til å logge på tjenesten. Dekrypteringen skjer på din maskin i nettleseren. Slik at deres maskiner aldri har passordene dine, verken på disk eller i minne.
  • For det tredje, om du fortsatt mener at du ikke stoler på dem. Da velger du 1Password, kjøper tjenesten deres og bruker WLAN sync (oppskrift her: https://support.1password.com/wlan-server/). Ikke like brukervennlig, og det fungerer ikke på alle systemer, men da lagres passordene kun kryptert på dine enheter. Og så synkroniserer enhetene seg imellom når de alle er koblet på WIFI-nettverket ditt hjemme.

 

Skal det gi noen gevinst av å bruke en passordhåndterer, så anbefaler jeg at du gjør følgende:

 

"Bruk passordhåndtereren på alle dine enheter, slik at du ikke blir frista til å endre ett eller flere passord til noe enklere fordi du stadig vekk må skrive de inn manuelt."

 

  • Lag ett lenger enn normalt og vanskelig passord til passordhåndtereren. Bruk minst 20 tegn, og ikke relater det til deg selv, dine venner eller din familie. “Jeg er fra Ringsaker1987” er ikke et godt passord for min del, selv om det har langt over 20 tegn. Det er verken vanskelig å finne ut hvilken kommune jeg kommer fra eller hvilket årstall jeg er født.
  • Ikke benytt samme eller lignende passord på forskjellige nettsider eller applikasjoner.
  • Legg inn passordene fra alle applikasjonene du bruker i passordhåndtereren. Eller bruk passordgeneratoren i passordhåndtereren til å lage nytt passord hvis det er på tide å bytte (se forrige punkt!), som du da samtidig lagrer i passordhåndtereren. Etter det trenger du ikke å huske passordene dine, det gjør passordhåndtereren for deg.
  • Bruk passordhåndtereren på alle dine enheter, slik at du ikke blir frista til å endre ett eller flere passord til noe enklere fordi du stadig vekk må skrive de inn manuelt.
  • Benytt to eller flere faktorer på selve passordhåndtereren. Det er passordhåndtereren som passer på passordet til alle andre kontoer du har, så er det en tjeneste du skal sørge for å sikre med flere faktorerer så er det passordhåndtereren.
  • Vurder å skrive ned passordet til passordhåntereren og lås det inne et sted. På passordhåndtererene finnes det ingen glemt passord funksjon, med god grunn. Det skal ikke være mulig for noen å få tak i passordene dine, med mindre de har passordet ditt. Heller ikke myndighetene.
  • Benytt pluginen i nettleseren. Alternativet er å kopiere til kopibrettet (clipboard), noe som gjør passordet tilgjengelig for alle kjørende applikasjoner. Selv om jeg vet det ikke er lenge siden Lastpass hadde sikkerhetshull i sin plugin er det fortsatt veldig sjelden dette skjer. Sjeldent nok til at alternativet er dårligere i mine øyne.

 

"...men når du er ferdig har du fått en sikrere hverdag med unike og gode passord for hver side"

 

Oppsummert kan du si at det tar litt tid å sette dette opp, men når du er ferdig har du fått en sikrere hverdag med unike og gode passord for hver side. Disse trenger du aldri mer å huske (utenom passordet til passordhåndtereren!) eller skrive inn. Istedenfor husker du det ene passordet, og får feltene automatisk utfylt hver gang du skal logge inn.

 

Med det håper jeg ting er litt klarere, og hvis du er uenig med meg eller fortsatt lurer på noem ta kontakt med meg på anders.lund@alv.no

 

 

Bonustips til bedrifter

Kjøp enterprise-lisens på en av disse passordhåndterer-tjenestene. Det er faktisk fullt mulig, og gir veldig gode metoder for tilgangsstyring. Her kan man opprette grupper, for eksempel for avdelingen, hvis man trenger å dele kontoen mellom flere.

 

Selv om vi sikkerhetseksperter er store fans av personlige kontoer med mulighet for sporing av aktiviteter, så finnes det situasjoner hvor dette ikke er mulig. Eksempelvis kan dette være vanskelig med SoMe bedriftskontoer. Det er i flere av tjenestene også fult mulig å laste inn sin personlige konto som et hvelv? inn i sin egen bedriftskonto.

 

Da har man tilgang til alt på ett sted.

En liten advarsel til slutt: Hvis du setter opp SSO på disse tjenestene i bedriften din, så husk at du da også i praksis gir administratorene mulighet til å få tilgang til de de personlige hvelvene til de brukerene som velger å sette opp dette.

 

Her må man rett og slett gjøre en vurdering på hva som blir riktig i sitt tilfelle.

Del denne artikkelen:
Anders Smedstuen Lund
Seniorkonsulent Sikkerhet