Passordets fremtid

Publisert 15. oktober 2022. Skrevet av Petter Berg

Det er nå tredje uke i Nasjonal sikkerhetsmåned, og vi fortsetter med et nytt tema, «Passordets fremtid»

I denne artikkelen kan du lese om noen av overskriftene som ble snakket om i Dig. lunsj 17. oktober. Du kan se opptaket fra Dig. lunsjen her:

Du kan se de andre temaene vi har vært og skal igjennom i årets sikkerhetsmåned, på vår samleside: https://www.hedmark-ikt.no/nsm/

Bruk av passord i fremtiden

Illustrasjon av Petter Berg – Midjourney

Mange av de store teknologi-selskapene i verden, sikter seg inn på en «passord-fri» fremtid, men hva betyr egentlig det?

Passordet er som kjent din private nøkkel, som gir tilgang til det som befinner seg i rommet du låser opp. Med dette i tankene, kan man enkelt vurdere om tingene man beskytter med nøkkelen er godt nok beskyttet. Er nøkkelen en typisk innendørsnøkkel, eller en mer komplisert nøkkel til ytterdører? En nøkkel det finnes mange eksemplarer av, vil ikke være til stor hindring for de som ønsker å få tak i det på andre siden av døren, og det samme gjelder passord. Har du et enkelt passord, som mange andre har, er sjansen stor for at andre kan få tilgang til det passordet beskytter.

For oss, er dette svært kritisk. Som ansatt i Hedmark IKT-samarbeidet, er passordet den enkleste måten å beskytte organisasjonene sin data, men også den største risikoen. Hvis du bruker passord som f.eks. «sommer2022» eller «høsten-2022», vet vi at dette er passord som allerede ligger i listene de kriminelle benytter seg av for å få tilgang.

Det beste tiltaket vi har for å sikre oss mot at du som ansatt bruker slike enkle passord, er å tvinge inn strenge regler ved opprettelse av passord, med flere krav til innhold. Hvis du lurer på hvilket krav vi setter for ansatte i Hedmark IKT-samarbeidet, kan du se det her: https://www.hedmark-ikt.no/glemt-passord/

Så, hva vil det si at vi går en «passord-fri» fremtid i møte? Vi ser en fremtid hvor passordet blir borte, men det erstattes med en sikrere måte å logge seg på sine systemer med, noe som vi definerer som Totrinnsbekreftelse. Mange er vant til å bruke dette allerede, for eksempel når du logger på nett-banken din. Bare oppgi fødselsnummer, kode fra BankID og en personlig pinkode, så har du tilgang til alle dine banktjenester.

Totrinnsbekreftelse

Illustrasjon av Petter Berg – Midjourney

Bruk av Totrinnsbekreftelse er nødvendigvis ikke enklere eller kjappere enn kun passord for å logge seg på en tjeneste, men det er desidert tryggere. Flere og flere store aktører, som f.eks. Microsoft, har åpnet opp for bruk av totrinnsbekreftelse, hvor «koden» som skal bekrefte at du er du, skapes automatisk ved gjenkjennelse av ditt ansikt eller fingeravtrykk. Dette er kun 1 av mange måter å gjøre dette på, og de aller mest kjente metodene er ved bruk av en app, hvor du må bekrefte at du er du ved pålogging.

Du kan sikkert lure på hvordan dette er tryggere enn et langt og trygt passord? Og det er et godt spørsmål! Fordelen med totrinnsbekreftelse, er at du først må starte påloggingsprosessen på maskinen du skal logge deg på, for deretter å bekrefte påloggingen på en annen enhet kun du har tilgang til. De fleste krever deretter en kort pin-kode i tillegg. Det betyr at den som skal prøve å få tilgang med din konto, må fysisk ha tilgang til enheten du bekrefter med. Sjansen for at det skjer, er mye mindre enn at passordet ditt blir gjettet.

Hvordan ser vi for oss bruk av passord i Hedmark IKT-samarbeidet i fremtiden? Vårt fokus er å kunne tilby en enkel og sømløs pålogging, som samtidig gir oss den tryggheten vi trenger. Vi er nødt til å finne en balanse mellom enkelt og trygt. Dette er noe vi jobber aktivt med, og fremtiden vil vise hvordan vi best løser dette.

Tips til å lage et trygt passord

Illustrasjon av Petter Berg – Midjourney

Det kan være enkelt å lage et sterkt passord, men det kan være en utfordring å huske det. Spesielt når man skal ha et unikt passord på hver enkelt tjeneste. Vi anbefaler derfor at du bruker hele setninger i ditt passord. Bygger du et passord basert på en hendelse du husker godt, er det mye enklere å huske selve passordet.

Passordet bør ikke inneholde ord og tall som kan assosieres med deg eller tjenesten du bruker passordet på, og passordet kan ikke ha vært brukt tidligere.

Her er et eksempel på hvordan man kan tenke seg frem til et godt og trygt passord:

«Når jeg var liten, var jeg uheldig å stikke en strikkepinne igjennom hånden. Dette skjedde i stua hjemme foran TV-en når jeg fylte 7 år (skjedde i 1996)». Ved å bruke dette, kan et passord se slik ut:

«Liten-strikkepinne-TV-1996«

Dette er da et sterkt passord på 26 tegn som er mye enklere å huske enn 26 tilfeldige tegn. I dette tilfellet er det viktig at dette er tatt ut fra en personlig historie som ikke er kjent for mange andre enn meg selv.

Har noen tilgang til mitt passord?

Illustrasjon av Petter Berg – Midjourney

Passord kan fort komme på avveie hvis en tjeneste du bruker blir angrepet. Dette kan ha skjedd uten at du selv er klar over det, og det kan skje uten at du var målet i seg selv. Det finnes allerede mange lister med millioner av passord som har blitt lekket av tidligere angrep. Det finnes en tjeneste som kan sjekke om passordet ditt har kommet på avveie. Denne tjenesten heter «Have I Been Pwned», og lar deg skrive inn din e-postadresse for så å søke etter lekkede passord som har tilknytning til e-postadressen du skrev inn. Dette er en trygg tjeneste å bruke, og du finner den her: https://haveibeenpwned.com/ – Lenken åpnes i en ny fane.

Materiell

Ønsker du å skape litt mer engasjement og forståelse for dette tema på arbeidsplassen? Bruk gjerne disse bildene:

Format: 1:1

Illustrasjon av Petter Berg – Midjourney

Format: 2:1

Illustrasjon av Petter Berg – Midjourney
Hedmark IKT