Det kan være vanskelig å velge et sterkt passord som du kan huske. Det er mange felt for opprettelse av passord som har sine egne krav – må bestå av syv bokstaver, må inneholde et tall og så videre. Å følge disse instruksjonene garanterer ikke et sikkert passord – ikke i det hele tatt. Det er imidlertid noen regler å følge, og tips om hvordan du kan sørge for at du har et best mulig passord... samtidig som du kan huske det.
Den første regelen for å teste styrken til et passord er å være ekstremt forsiktig når du bruker nettbaserte verktøy for å teste passordene dine. Nettsteder eller nedlastbar programvare kan ta passordet du prøver å teste og legge det til i en ordliste. En ordliste er en liste over kjente og generelt vanlige passord. Ordlister kan løpe til millioner av oppføringer og brukes av hackere til å gjøre utdannede gjetninger på passord i stedet for den langsommere metoden for å prøve alle mulige kombinasjoner fra "aaaaaa".
Med andre ord, en ordliste holder passord som "Susie1202" og "Password12". Hackere vil kjøre passordlisten på nettsteder i håp om å få en match. Det er avgjørende å ha et passord som ikke er på noen slik liste. Disse ordlistene er overraskende effektive, ettersom mange bruker generiske eller vanlige passord. Heldigvis er du ikke alene – det er noen verktøy som hjelper deg: Passordsikkerhetskontrollere.
Disse kontrollørene drives vanligvis av pålitelige cybersikkerhetsselskaper. Vær imidlertid alltid forsiktig når du bruker denne typen verktøy – det er alltid en viss risiko involvert. Du bør ikke bare stole på et hvilket som helst nettsted eller programtilbud for å måle styrken til passordene dine uten å være helt sikker på at det er trygt – faktisk, til og med noen cybersikkerhetsselskaper som selv tilbyr disse verktøyene, anbefaler å ikke bruke de ekte passordene dine, og kun teste potensial, eller lignende passord med verktøyene deres – for sikkerhets skyld.
Så hvordan skal du vite hvor sterkt passordet ditt er uten å bruke et nettsted eller en app for å sjekke det?
Svaret er overraskende enkelt: Ved å lære mer om hva som gjør et passord trygt, og utforme et deretter.
Typer angrep
Når du prøver å designe et trygt passord, hjelper det å forstå hvordan hackere prøver å angripe. Det er to hovedtyper av angrep; brute force og ordbok.
Brute force-angrep prøver alle mulige kombinasjoner av karakterer. Gitt nok tid vil denne metoden til slutt knekke alle mulige passord. Den største ulempen med denne angrepstypen er at det tar tid, og jo flere kombinasjoner som skal forsøkes, jo mer tid tar det. Den nødvendige tiden kan være astronomisk – selv om et program kan kjøre titusenvis av muligheter per minutt, er det millioner av kombinasjoner mulig, noe som gjør disse angrepene ineffektive. Lange passord er svært usannsynlig å bli knekt med denne metoden, siden det kan ta flere tiår å kjøre alle muligheter og dermed finne dem.
Ordbokangrep bruker de nevnte ordlistene til å gjøre utdannede gjetninger på hva passord kan være. Denne teknikken reduserer dramatisk antall gjetninger som skal gjøres sammenlignet med brute force-angrep, og fremskynder prosessen med en enorm margin. Ordlister er vanligvis basert på kjente lekkede passord. Programvare utviklet for å utføre denne typen angrep kan også inkludere "ordmangling"-regler som kan endre ordene for å prøve vanlige varianter også. For eksempel kan en ordmangling-regel prøve å erstatte en "o" med en "0" eller legge til en "!" til slutten av et ord. Disse reglene er generelt basert på vanlige erstatninger eller tillegg som folk gjør - unødvendig å si, det er ikke veldig sikkert. Den største ulempen med denne typen angrep er at angriperen må ha passordet allerede i sin ordliste, og angrepet er bare så bra som ordlisten.
Hvordan lage et sterkt passord
Det er tre viktige faktorer for passordstyrke: lengde, unikhet og kompleksitet.
Tips: IKKE bruk noen av passordene eller deler av passordene nevnt i denne artikkelen, da de ikke er sikre.
Hvordan lengden påvirker styrken til et passord er ganske enkelt å forstå. Jo flere tegn et passord har, desto flere kombinasjoner av bokstaver må prøves før det er statistisk sannsynlig at en hacker gjetter riktig. For eksempel er det mye flere ord på seks bokstaver enn det er fire bokstaver. Faktisk, for hvert tegn som legges til, øker antallet totalt mulige kombinasjoner eksponentielt.
Lengde er den beste beskyttelsen mot brute force-angrep, men å huske for eksempel et passord på 64 tegn er ikke akkurat lett. Det er heller ikke nødvendig. Den ideelle situasjonen er å lage et passord så langt at det rett og slett er umulig å bruke tid og energi på å muligens noen gang knekke det. Det ideelle er 10 tegn eller mer – i nesten alle tilfeller vil det være nok.
Noen mennesker kan komme opp med en plan om å bruke et vanvittig langt passord, så lenge at det ville være umulig å noen gang brutalt tvinge det. For eksempel et dikt, sangtekster eller hele verkene til Shakespeare. Forutsatt at nettstedet tillater det, ville dette fungere, men på et tidspunkt kan en hacker legge til disse kjente eksemplene til ordlisten deres "i tilfelle" og så faller ideen fra hverandre. Det er her det unike kommer inn for å spille.
Unikhet er vanskelig å bedømme. Av de mer enn syv milliarder menneskene på jorden kan det være vanskelig å finne på noe helt unikt, men det er fortsatt verdt å prøve. Noen av de vanligste passordene som fortsatt er i bruk selv nå er: "admin", "passord", "123qwe" og "qwerty". Dette er forferdelige passord, ikke bare fordi de er korte, men fordi de er velkjente, så de vil være i hver ordliste, sannsynligvis som en av de første gjetningene. Noen prøver å gjøre disse passordene litt mer kompliserte ved å bruke "Passord1!" men dette er for forutsigbart og er i de fleste ordlister også.
For å slå et ordlistebasert angrep må du designe et passord som ikke vil bli kjent eller tenkt på. Det beste tilfellet er å bruke et helt tilfeldig utvalg av karakterer, men dette er sannsynligvis for vanskelig å huske.
"UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO" ville være et SIKKER passord, men det vil ikke være praktisk.
En grei løsning er å bruke et utvalg ord, det betyr ikke noe sammen. Et eksempel, popularisert av nettserien XKCD, er "CorrectHorseBatteryStaple". Dette konseptet er ganske sterkt, og oppmuntrer til både lengde og tilfeldighet, og resultatet skal være lettere å huske enn en tilfeldig rekke med tegn og symboler. Du kan velge hvilke ord du liker – dyr du liker, blomster, en favorittskuespillers navn, til og med, så lenge det er flere ting du kan huske. Selv fem ting du har på skrivebordet akkurat nå ville fungere!
Når det gjelder kompleksitet: Det er et must - det er definitivt en av de viktigste aspektene ved å lage et passord. Å endre bokstaver til tall og legge til symboler kan øke kompleksiteten til passordene dine. En ti-tegns streng med tilfeldige bokstaver, tall og symboler er et bedre passord, og det er mindre sannsynlig at gjettet, enn bokstaven "a" hundre ganger på rad, som igjen er et bedre passord enn "Passord12!".
Kompleksitet er en god måte å gjøre passord vanskeligere å gjette på, men det gjør dem også vanskeligere å huske. Alt handler om å finne en sunn balanse. Generelt sett er det å legge til en liten mengde kompleksitet ved å inkludere et tall og et symbol et sted, nok en forbedring for å virkelig gjøre en forskjell for passordstyrken din. Det er egentlig ikke nødvendig å endre så mange tegn som mulig til tall eller symboler – det gjør det bare vanskeligere å huske.
Konklusjoner
For å oppsummere de tre kravene, er noen gode huskeregler for passord:
- Passord bør ha 10 tegn som en rimelig minimumslengde, men mer er bedre.
- Passord bør ikke være enkle eller vanlige kombinasjoner av ord; de skal være unike.
- Passord bør inneholde en rekke tegntyper, inkludert tall og symboler
Tips: Hvis du er nysgjerrig og ønsker en levende visuell demonstrasjon av hvordan lengde og kompleksitet påvirker den generelle passordstyrken, er det ikke en forferdelig idé å bruke en online passordstyrketester. Følgende eksempler er pålitelige nettsteder. Vær alltid forsiktig med hvor du skriver inn passord og informasjon – noen nettsteder kan prøve å stjele passordene dine. Nettstedene nedenfor er kjent for å være pålitelige:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php