Nesten alle selskaper sliter med problemstillingen: Hvordan vanlige pc-brukere skal bruke sterke passord de ikke glemmer. De fleste har vært borti problemstillingen: Når passordene må byttes ut, blir det litt mer komplisert en stund. «Hva var det nye passordet nå igjen?» Når man endelig husker det og venner seg til å taste det inn, er det på tide å skifte igjen.

Sykehuspartner, som leverer ikt-løsningene til alle sykehusene til sykehuskjempen Helse Sør-Øst mener å ha funnet den optimale løsningen på problemet. Løsningen både øker passordsikkerheten drastisk, samtidig som den skal gjøre det mer attraktivt for brukerne å skaffe seg sterkere passord som ikke kan knekkes så lett.

Hvert døgn sendes en million meldinger gjennom ikt-systemene til helseselskapet som kobler brukere, helseinstitusjoner, legekontorer og norske kommuner. I fjor ble helsekjempen brutalt hacket av ukjente aktører. Helseopplysninger om hele 2,9 millioner nordmenn kan ha kommet på avveier som følge av dataangrepet. Det meste rundt det store angrepet er fremdeles taushetsbelagt og det er ingen klar konklusjon rundt hvem som sto bak etter at PST henla saken før nyttår.

Sikrere passord

I etterkant av det store hackerangrepet og i kjølvannet av nye anbefalinger fra et av verdens mest anerkjente sikkerhetsmiljøer, amerikanske National Institute of Standards and Technology (NIST) bestemte Sykehuspartner seg for å gjøre en endring i selskapets passordpolicy.

I dag er kravet til vanlige brukere at passordet de bruker må ha minimum lengde på åtte tegn. I tillegg må det byttes ut hver 90. dag. Og det er noen krav til passordkompleksitet, som å bruke store og små bokstaver i tillegg til spesialtegn. I den nye policyen økes passordlengden for ordinære brukere til minst det dobbelte – til 16 tegn og oppover. Til gjengjeld trenger man ikke å skifte det ut igjen, med mindre passordet kommer på avveier. Målet med endringene er at de skal sørge for mindre hodepine rundt passordskifter og samtidig gi alle økt sikkerhet. Endringene i passordpolicyen har ifølge Sykehuspartner ingen sammenheng med det store hackerangrepet mot morselskapet.

– Hovedpoenget var å få sterkere passord og økt informasjonssikkerhet. Vi fjerner kravet til periodisk å endre passord. Da trenger man ikke lenger å bytte ut hver 90. dag. Vår hypotese er at det vil føre til en bedre brukeropplevelse, ved at brukere ikke trenger å endre passord regelmessig, sier seniorrådgiver Almedin Santic hos Sykehuspartner.

Passord på avveier

Blir policyen en suksess, vil det snart kunne gjelde for alle som jobber i Sykehuspartner for i neste omgang å bli en mulighet for ansatte i Helse Sør-Øst – som i dag bare krever en passordlengde på åtte tastetrykk. Det regionale helseforetaket med nærmere 80.000 brukere, sørger for spesialisthelsetjenester til 2,9 millioner nordmenn.

– Tanken er at det også vil redusere antall kundestøttehenvendelser, som er relatert til passordbytter. Det er mindre sannsynlig at man vil glemme det, sier Santic.

Samtidig sjekkes brukernes passord manuelt opp mot haveibeenpwned.com, en database over passord som er lekket eller på avveier. Dersom passordet kommer på avveier, får brukeren beskjed om å skifte det ut. Med utgangspunkt i en ordliste sjekkes også passordenes svakhet.

– Er det ikke to-faktor?

– For administratorbrukere er det to-faktor. Ordinære brukere må kun bruke det hvis de har hjemmekontor og er utenfor nettverket, sier Santic.

– Det er et overordnet mål å få rullet ut to-faktor i hele Helse Sør-Øst, sier sikkerhetsleder Christian Jacobsen hos Sykehuspartner.

Her er rådene

Avdelingsdirektør Mona Strøm Arnøy hos Nasjonal sikkerhetsmyndighet, som rådgir norske myndigheter om digital sikkerhet, sier følgende om Sykehuspartners nye policy:

– Nasjonal sikkerhetsmyndighet anbefaler lange og unike passord. Anbefalte passord er gjerne en kombinasjon av tegn, men ikke så vanskelig at man ikke klarer å huske det. Det kan godt være en setning. Vi anbefaler umiddelbart å bytte standard passord og å benytte to-faktor der det er mulig, sier Arnøy, som legger til hyppige passordbytter i dag er helt ut.

– Vi anbefaler ikke hyppig bytte av passord fordi det skaper andre problemer. Vi bifaller dermed Sykehuspartners nye passord råd, sier Arnøy.

Almedin Santic deler følgende råd med DN om hvordan man lager et sterkere passord, i tråd med den nye policyen:

  • Et godt passord er lett å huske, men vanskelig å gjette.
  • Passordet skal være langt, minimum 16 tegn. Lengde trumfer kompleksitet.
  • Bruk gjerne en setning med for eksempel mellomrom, komma eller punktum.
  • Passordet må gjerne inneholde ord som ikke er i en ordbok. Skriv for eksempel på dialekt.
  • Sørg for at passordet er unikt. Ikke bruk det på andre tjenester.
  • Mange anbefaler at man skriver ned passord og oppbevarer det som et verdipapir; dette kan godt gjøres med private passord, men ikke med passord brukt hos arbeidsgiver.
  • Husk til slutt at det å glemme passordet er ingen katastrofe.
  • Ikke bruk tallene på slutten.

Den amerikanske forskningsinstitusjonen Cylab, som er tilknyttet Carnegie Mellon-universitetet og er et anerkjent miljø for forskning rundt digital sikkerhet, har følgende råd for passordsikkerhet:(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.

  • Ikke bruk noen av dine eksisterende passord for alle kontoene dine. Hvis det blir for mye å huske, så skriv ned passordene på et sikkert sted eller bruk en «password-manager».
  • Angripere prøver vanligvis å logge på mange forskjellige nettsteder med brukernavnene og passordene de har fått tak ifra nettsteder som tidligere er blitt hacket.
  • Passordet ditt må ha minst 12 tegn. Ta med store bokstaver, tall og / eller symboler på uforutsigbare steder.
  • Angripere vet at folk ofte legger tall og symboler på slutten av passordet og store bokstaver i begynnelsen. Gjør noe annerledes.
  • En måte å lage et sterkt passord på, er å lage en setning som ingen noensinne har sagt før, og bruke den første bokstaven, eller de to første fra hvert ord som passord, og blandet det inn med andre.
  • Unngå å basere passordet ditt på personnavn eller kjæledyrnavn, ting du liker (f.eks. favorittsanger, biler), idrett eller fødselsdatoer.