Blog

Dit password er nøglen til dine data

01. oktober 2018

Sanne Petersen

”Der er da ingen, der vil hacke mig eller min virksomhed” og ”Hackere er ligeglade med min lille virksomhed”. Sådan er der mange som tænker, fordi de fejlagtigt tror, at hackeren udser sig en bestemt virksomhed eller person de vil hacke - sådan er det sjældent.

Hackere kan f.eks. starte med at lede efter sårbarheder i software og styresystemer eller udnytte kendte ”huller”, som stadig er åbne på pc’er, hvor brugerne ikke sørger for at opdatere dem regelmæssigt. Dette hul kan i teorien både forbinde hackeren til en større virksomhed eller blot en teenagers personlige computer – det ved de på forhånd ikke. Rådet for Digital Sikkerhed har opstillet 10 punkter, som alle private borgere bør overholde, men i erhvervsmæssig sammenhæng stilles langt flere krav og særligt efter den nye GDPR-lovgivning.

Første skridt er selvfølgelig at sikre dig, at alle andre elementer i jeres it-sikkerhed er toptunet. Du kan læse mere om it-sikkerhed til virksomheder her og betydningen af en automatisk sikkerhedsopdatering og patching.

 

Sådan laver du et godt password

Men hvis hackerne først har fået kontakt, er det her jeres passwords kommer på prøve. Hacking software er efterhånden så effektivt, at det kan knække ethvert password. Det kommer blot an på, hvor tålmodig hackeren er. Hackerne vil dog ofte gå efter de nemme ofre; De som ikke anvender komplekse passwords og dermed ikke tager lang tid at hacke. I Danmark er vi storforbrugere af passwords som indeholder årstider, årstal, månedsdato som f.eks. ”Sommer2018”, ”Julen2018” og ”Juli2018”. Passwords som alle kan dekrypteres uden problemer og derfor giver dig en falsk tryghed. Ifølge SplashData er verdens 10 mest anvendte passwords i 2017:

          1.     123456
          2.     password
          3.     12345678
          4.     qwerty
          5.     12345
          6.     123456789
          7.     letmein
          8.     1234567
          9.     football
          10.   iloveyou

 

Det mest anvendte, 123456, har været ranglistens nr. 1 siden 2013 og trods det, anvendes det fortsat i stor stil rundt omkring i både virksomheder og private hjem. Alle password på top-10 listen, og nemme danske passwords, har en estimeret hacking tid på 1 sekund og du kan derfor stille dig selv spørgsmålet – ”er min virksomheds data ikke mere værd end 1 sekund?”. Tænk på, at det er hurtigere at hacke passwordet end at skrive det!

 

Mange tror fejlagtigt, at mærket på din første bil efterfulgt af din kats fødselsdato er et fint kodeord, da det jo ikke er noget, som andre kender til. Men med avanceret hackersoftware er det absolut ikke det, det handler om. Softwaren er i dag så effektive, at det f.eks. hurtigt kan sammensætte ord fra ordbogen eller en talrække i en milliard forskellige kombinationer. Ligeledes ved de også, hvilke ord der har relation til hinanden og derfor ofte sammensættes i sætninger. Rådet for Digital Sikkerhed har opstillet 10 punkter, som alle private brugere bør overholde, men i erhvervsmæssig sammenhæng stilles langt flere krav.

 

it-sikkerhed-med-databeskyttelse-og-password

 

Det skal indeholde mindst 20 tegn

De fleste tjenester har automatisk en minimumsgrænse for, hvor lange dine passwords skal være. Ved mange tjenester er det dog ”kun” 8 tegn, hvilket nærmest indbyder hackere til at bryde dit password. Generelt er passwords fra ordbogen og kun med bogstaver ikke lige så sikre, som hvis du også tilføjer tal og specialtegn. Et sikkert password består derfor af mange tegn, men også i høj grad kompleksiteten af sammensætningen mellem bogstaver, tal og specialtegn.

Det siger lidt sig selv, da dit password på den måde har flere forskellige kombinationer og på den måde vil tage computeren længere tid at regne ud. Derfor er den gyldne regel – jo flere forskellige bogstaver, tal og specialtegn, desto længere tid vil det tage at bryde dit password.

 

Brug en kombination af bogstaver, tal og specialtegn

Du tænker sikkert at dine passwords så vil være svære at huske, men sådan behøver det faktisk ikke at være. Du kan med fordel benytte dig af vores to gode råd ”Find på en løgn” eller ”Vælg en sang du kender godt”. Skal passwordet være ekstra svært skal du lave hhv. små og store bogstaver, samt tilføje specialtegn og tal. Disse tal må gerne optræde imellem de andre bogstaver, da de fleste tilføjer tal til sidst i deres passwords, og det ved hackerne godt!

 

Find på en løgn

Det var faktisk vores direktør, Klaus Nielsen, der kom med denne geniale idé. ”Hvis du bare finder på en løgn, er der absolut intet i dit password, som kan knyttes til dig”. Start med at finde på din løgn, og brug derefter forbogstavet for hvert ord til at lave dit password. På den måde bliver det ikke en sammensat remse, der kan gættes ved et såkaldt Dictionary Attack, som bruger ordbogen til at knække dit password. Og hvis det skal være ekstra godt, så lav din løgn så ”langt ude” som muligt med ord, der absolut ingen relation har.

Din løgn:

Jeg har tolv dinosaurer hjemme i min stue. Jeg ser fjernsyn med dem hver aften klokken ti inden jeg skal sove

Oversættes til:

Jh12dhimsJsfmdhak10ijss

 

Dette eksempel bruger 23 karakterer og sørger for at bruge både tal og store bogstaver, der indikerer starten på hver sætning. Passwordet har en estimeret hacking tid på flere hundrede år og dermed ikke just et password hackerne går efter som det første.

 

Vælg en sang du kender godt

Din yndlingssang kan også bruges til andet end skråle med på under bruseren - den kan være et smart password. Du skal kunne teksten udenad - og så er det blot med at tage omkvædet eller starten af første vers, og igen bruge forbogstavet af hvert ord til dit password.

Din yndlingssang:

Det er et yndigt land af Adam Gottlob Oehlenschläger udgivet i 1823

Første og anden linje, navn og årstal:

Det er et yndigt land

Det står med brede bøge

Adam Gottlob Oehlenschläger 1823

 

Oversættes til:

DeeylDsmbbAGO1823

 

Pludselig kan Danmarks nationalsang bruges til andet end store sportsbegivenheder og sang under bruseren – nemlig et komplekst password. Her er det smart at bruge store bogstaver ved en ny sætning og navn, samt angive årstal. Vil du være endnu mere sikker kan du erstatte udvalgte bogstaver og tal med specialtegn eller angive udgivelsesåret 1823 inden kunstnerens navn. Mulighederne er mange og det er kun din fantasi der sætter begrænsninger.

 

Skift dit password regelmæssigt

Selvom du laver et avanceret password, vil det med stor sandsynlighed altid være muligt for en hacker at dekrypterer og få adgang til dine data. Det kommer blot an på tid og software. Derfor er det ligeledes vigtigt, at du i din virksomhed sørger for at indføre en passwordpolitik der sikrer, at I skifter jeres password jævnligt, f.eks. hver 3 måned. Samtidig er det vigtigt, at I ikke kan bruge samme password indenfor f.eks. en 3 års periode.

Med regelmæssigt skift af passwords samt ovenstående råd om komplekse kombinationer og mange tegn vil det tage lang tid for en hacker at bryde og dermed vil du højne din it-sikkerhed markant. Alle faktorer som nøje bør inddrages i din virksomheds it-sikkerhedsstrategi for at efterleve de nye GDPR-regler.

 

Brug ikke det samme password til flere ting

Hvis du kun har ét password til flere forskellige tjenester, så kan hackeren lige pludselig få adgang til mange elementer ved blot at knække ét password.

Hvis du synes det er rigtig irriterende at skulle huske flere forskellige passwords, kan jeres virksomhed bruge ’2-faktor godkendelse’. Her skal du nemlig bevise, at det er dig, som er ved at logge ind ved f.eks. at indtaste en 4 cifret kode du modtager på sms. På den måde kan hackeren kun bryde ind, hvis de også har adgang til din tlf. – og pludselig er du en af ”de besværlige”, som de ikke gider at bruge tid på at hacke.

 

Foruden et godt password anbefaler vi hos XPConsult samtidig, at du altid har opdateret din it-sikkerhed. I foråret satte XPConsult sammen med JydskeVestkystens Erhverv+ tillæg fokus på netop it-sikkerhed og vigtigheden af automatiske sikkerhedsopdateringer. Læs artiklen om sikre og stabile it-løsninger her eller læs mere om vores it-løsninger her. Vi anbefaler på det kraftigste, at du i din password- og it-sikkerhedspolitik sætter krav om længdes af password. Det er altafgørende og har direkte påvirkning på din datasikkerhed.

 

Fremtidens passwords

Men vi ved det… Du har hørt remsen utallige gange før og vi kender selv frustrationerne med lange komplicerede passwords som i øvrigt allerede er glemt i morgen og så kan man starte forfra. Men der er håb forude. I takt med den teknologiske udvikling byder fremtiden på mange avancerede og alternative måder at lave et password på og hvem ved om det overhovedet er noget du skal bekymre dig om i fremtiden?

Fremtiden er her allerede og vi bruger i stigende grad biometri som f.eks. fingeraftryk, tale- og ansigtsgenkendelse samt kombinationen af fingeraftryk og blodbaner som password og koder. Eksisterer passwords overhovedet i fremtiden og i givet fald, hvordan anvender vi dem? Det kan kun den teknologiske udvikling vise os, så vi kan blot læne os tilbage og håbe på lettere måder at sikre vores data på. Indtil da må vi bide i det sure æble og sikre os på den ”besværlige” måde.

 

Har du spørgsmål til din it-sikkerhed?

Giv os et kald på 7216 3111 eller send en mail på info@xpconsult.dk – så finder vi sammen en løsning der passer til din virksomhed.