Avdelingsleder Carsten Maartmann-Moe i Transcendent Group Norge skriver i et innlegg i DN onsdag om « Passordsyken dnPlus ». Ifølge ham er det begrenset hvor kreativ man klarer å være når man er nødt til å bytte passord hver måned. Han mener bedrifter ikke kan kreve at ansatte lager passord med minimum ti tegn, ett spesialtegn, tall og stor bokstav - og så kreve passordbytte hver måned.

Les innlegget her: Passordsyken dnPlus

Nestleder Tone Hoddø Bakås i Norsk senter for informasjonssikring (NorSIS) forklarer hvordan en skal tilfredsstille kravene om kompliserte passord

Nestleder Tone Hoddø Bakås i Norsk senter for informasjonssikring (NorSIS). Foto: Jan Tore Øverstad, pressebilde for NorSIS.
Nestleder Tone Hoddø Bakås i Norsk senter for informasjonssikring (NorSIS). Foto: Jan Tore Øverstad, pressebilde for NorSIS. (Foto: Jan Tore ¯verstad)
og samtidig holde styr på dem selv.

- Det kan være ganske komplisert, og det er ikke bare på jobben du har passord. Den største utfordringen er at vi bruker de samme passordene på Facebook, LinkedIn og nettbutikken som vi bruker på jobben. Det vil si at hvis noen av de tjeneste vi logger på lekker passord, så kan den kriminelle komme rett inn på alle tjenestene du bruker, sier Bakås.



«Passordstamme»

Det aller viktigste rådet NorSIS har er at du skal ha forskjellige passord på forskjellige tjenester.

- Passordet skal helst være langt, det skal være store og små bokstaver, et spesialtegn, tall og i det hele tatt. Du kan lage det vi har kalt en passordstamme, en setningsstamme. Tenk på noe du aldri kommer til å glemme, for eksempel en sangstrofe, sier Bakås.

Det kan for eksempel være «Lisa gikk til skolen».

Da kan du lage ulike passord til hver av tjenestene du bruker:

  • Lisa gikk til skolen jobben min
  • Lisa gikk til skolen Facebook
  • Lisa gikk til skolen LinkedIn

Personlig

- Du bør prøve å skrive de ulike tjenestene på en måte som ikke er så lett å skjønne, for eksempel «Faceboka». Prøv også å legge inn et komma et sted, men i de aller fleste tilfeller blir et mellomrom oppfattet som et spesialtegn, sier Bakås.

Bakås peker på at slike passord blir datamaskinmessig komplekse.

- Men det blir ikke komplekst for meg og deg, og det er viktig. For jeg husker jo Lisa gikk til skolen. Finn din sangtekst eller en setning fra yndlingsboken din, sier hun.

Det som kompliserer det er at bedriften ber om skifte av passord ofte. Da peker Bakås på at du nå har en grunnstamme, og heller kan ha et løpenummer hver gang du må skifte.

Mangel på kreativitet

- Regelmessig skifte av passord er noe stort tull, sier Per Thorsheim i it-sikkerhetsselskapet God Praksis.

Thorsheim er lidenskapelig opptatt av passord og har forsket på problemstillinger rundt passord i om lag 15 år.

- Vi leser over alt at passord må være lange, unike og avanserte. Mange blir irriterte av det, men når det toppes med at det skal skiftes en gang i måneden, blir det idioti. Med en gang det er krav om regelmessig skifte forsvinner all kreativitet ut av hodet ditt, sier han.

- I stedet for å lage et langt og avansert passord, bruker du et telleverk. Da er det for eksempel mandag01, mandag02 og mandag03. Bortimot 50 prosent av de ansatte i en bedrift vil bruke noe så enkelt som det på sine passord, når de blir tvunget til å bytte regelmessig, legger Thorsheim til.

Bytte en gang i året

Ifølge ham vil det være mye lettere å gjette slike passord. Dersom angriperen først har gjettet passordet ditt en gang, er det enkelt å gjette hva det neste vil være.

Thorsheim mener det vil være bedre å kreve at de ansatte bytter passord omtrent en gang i året.

- Å skifte passord per 13. måned er en mye bedre løsning. Du vil redusere antall henvendelser ved glemt passord, det vil gjøre folk mer produktive. Regelmessig skifte av passord gjør at folk rett og slett blåser i å prøve å lage gode passord, sier han.

Lyst til å huske

Til dem som likevel er nødt til å bytte passord regelmessig har Thorsheim et klart råd:

- Ikke lag et passord, men lag en liten setning i stedet for. Ta et sitat fra en sang bestemor sang for deg da du var liten eller navnet på din favorittvin og årgangen på den. Det må være noe positivt, noe som hodet ditt faktisk har lyst til å huske, sier han.

- «Jeg fikk ofte juling på skolen da jeg var mindre», egner seg ikke, for det er ikke noe du har lyst til å huske, understreker Thorsheim.

Har du tips tiil gode passord-rutiner? Del gjerne med andre i diskusjonsfeltet under! (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.

Les også:
Hvem av de nye Statoil-sjefene er Liverpool-fan?
Kristian Siem: - Vi forbereder oss på det verste