FĂžr jeg viste noe om IT sikkerhet, i min spede begynnelse som bruker av Internet lagde jeg passordene mine selv. Jeg trudde jeg var veldig smartđ§ . For i stede for Ă„ bruke navnet mitt og fĂždselsĂ„ret(mats1985) som passord. Som jeg hadde gjort fĂžr. Tenkte jeg at et mĂžnster pĂ„ tastaturet, foreksempel «qwert», «asdasd» eller «1q2w3e4r» var lure, gode passord, ingen kunne gjette.
Men var jeg egentlig sĂ„ smart?đ§
PĂ„ Nordpass sin liste over de 200 mest brukte passordene verden over er heldigvis bare en av passordene jeg brukte, «qwert» pĂ„ top 10 lista. Kanskje jeg ikke var sĂ„ dum likevel da đ
Ser vi pÄ Rockyou.txt, en populÊr ordliste brukt av pentestere og hackere som utgangspunkt for Ä gjette passord, finner vi passordene mine der?
Her finner jeg 2356 versjoner av «qwert» med forskjellige tegn bĂ„de etter og fĂžr passordet. Som feks: «12345qwert@». Ordlisten har ogsĂ„ 158 versjoner av «asdasd» og 96 versjoner av «1q2w3e4r».
Problemet med passordene over er at historien min ikke er unik. I seg selv er dette vanskelige passord Ä gjette hadde det ikke vÊrt for at dette er passord veldig mange andre bruker ogsÄ. For det er veldig mange der ute som tenker de er lure Ä lager egen genererte passord. Men nÄr alle er lure pÄ samme mÄte da blir ikke dette sÄ lurt lenger.
For nĂ„r en angriperđ vet at en viss prosent av alle brukte passord er som passordene over. Og han har en liste med disse passordene. Da vet han ogsĂ„ hvor mange kontoer han prosentvis vil kunne logge seg inn pĂ„ med disse passordene. Da er dette et problem.
Denne type angrep kaller vi «spraying»đ„ž Hvor angriperen har en liste med brukernavn og en liste med vanlige passord. For sĂ„ Ă„ bruke denne listen med passord mot alle brukernavnene for Ă„ se om han kommer inn pĂ„ en eller flere kontoer. Ă prosentvis vet han hvor mange som bruker de gitte passordene, og hvor mange kontoer han vil komme inn pĂ„.
Heldigvis har spraying blitt vanskeligere nÄ nÄr flere bruker multifaktorautentisering fra mobil eller epost. Bedrifter har ogsÄ fÄtt med seg at det er viktig Ä har regler for hva slags passord man kan bruke. Men selv om man implementere regler for passord bruk kan mÞnstrene vi mennesker handler og tenker i komme til synet i passordene vi lager.
Derfor er moralen, ikke prÞv Ä vÊr lur. Bruk en passord generator for Ä konstruere passord. Bruk ogsÄ en passordmanager sÄ slipper du Ä bruke de samme passordene flere steder. Det er risiko momenter med disse tiltakene ogsÄ, som med alt annet. Men du vil uansett komme bedre ut av det enn Ä bruke samme eget laget passord pÄ alle tjenestene dine.
Stay safe!
