I denne veiledningen tar vi for oss hvordan man lager et sterkt og sikkert passord.
Synes du denne veiledningen blir for omfattende? Vi har også laget en forenklet veiledning for sikker pålogging og bruk av passord her.
Aktiver totrinnsbekreftelse
Et av de viktigste sikkerhetstiltakene vi kan benytte ved pålogging er totrinnsbekreftelse. Totrinnsbekreftelse er et ekstra sikkerhetsnivå for innlogging på brukerkonto eller brukerprofil, som gjør det vanskelig for andre å få tilgang til dine brukerkontoer. Sikkerheten din på nett øker derfor betraktelig med totrinnsbekreftelse og vi anbefaler alle å aktivere dette snarest der hvor det er mulig.
Klikk her for å gå til veiledningen som viser hvordan man aktiverer totrinnsbekreftelse.
Hvordan lage et sterkt passord
Å lage et sterkt passord er en enkel jobb. Utfordringen er å huske flere ulike sterke passord. Spesielt når man skal ha et unikt passord for hver enkelt nettside. For å gjøre det enklere å huske, anbefaler vi å bruke fraser eller hele setninger som passord. Setninger er mye enklere å huske enn vilkårlige kombinasjoner av enkelte bokstaver og tall. Setninger inneholder naturlig mellomrom og symboler, som gjør passordet sterkere. Lag deg en huskeregel for passord som gjør at du kan lage variasjoner over en frase som sikrer unike passord for hver enkelt tjeneste. Da blir det enklere å huske passordet for deg, men unngå å bruke referanser direkte til tjenesten som passordet benyttes til.
Passordfrasen bør:
- være så langt som mulig, minst 5 ord eller 16 tegn
- være unikt for hver enkelt nettside/brukerkonto
- inneholde både tall, symboler, mellomrom og store/små bokstaver
- helst ikke inkludere ord/tall som kan assosieres med deg eller tjenesten passordet gjelder for.
Men husk å benytte totrinnsbekreftelse der dette er mulig!
Enkelte tjenester tillater ikke bruk av mellomrom eller enkelte tegn, så det kan være nødvendig å variere. Man kan også inkludere bruk av æ, ø og å for ekstra passordstyrke og sikkerhet, men dersom man kan bli nødt til å logge inn på en maskin i utlandet kan dette være utfordrende.
Beskytt passordet
Forskjellen på «Husk passord» og «Forbli innlogget»
De fleste nettlesere gir deg et forslag om å huske passordet ditt første gang du logger inn på en ny nettside. Ikke gjør det. Passord som huskes av nettleseren er i de færreste tilfeller tilstrekkelig sikret. Dersom du skulle være så uheldig å få virus eller skadevare på maskinen din er sjansen stor for at viruset vil klare å få tak i det lagrede passordet. Alle andre personer som bruker den samme maskinen vil også enkelt kunne se de lagrede passordene.
De fleste nettsider har en avkrysningsboks under innloggingsfeltene hvor man kan si at nettsiden skal la deg forbli innlogget/huske at du er innlogget. Denne utgjør liten risiko for at andre skal få tilgang til passordet ditt.
Benytt gjerne et passordhåndteringsprogram eller skriv de ned
Med mindre du har en god rutine for å lage sterke passord, kan det være lurt å bruke et program som gjør jobben for deg. Slike programmer lager meget sterke og unike passord som kan brukes på hver enkelt nettside hvor du er registrert. Passordene ligger lagret i en kryptert database. Du trenger kun ett (veldig sterkt) hovedpassord for å få tilgang til disse. Men pass på at passordprogrammet støtter totrinnsbekreftelse.
Mange passordhåndteringsprogrammer har også mulighet til å generere lange og gode passord for deg. Bruk gjerne denne funksjonen i stedet for å lage egne passordsetninger.
De fleste passordhåndteringsprogrammer er etablert som abonnementstjenester, men mange har gratisutgaver, da gjerne med en begrensning på hvor mange passord som kan lagres, eller hvor mange enheter som støttes. Anerkjente passordhåndteringsprogrammer er 1Password, LastPass, Keeper, Enpass og KeePass.
En liste med informasjon om noen passord-håndteringsprogrammer, og flere gode råd om passord, finner du på PixelPrivacy.com (engelsk): https://pixelprivacy.com/resources/reusing-passwords/
Dersom du synes et passordhåndteringsprogram er for vanskelig å forholde seg til, kan du heller skrive ned passordene dine. Det er viktigere at man har gode og unike passord på alle tjenester enn at man er i stand til å huske alle sammen. Skriv passordene ned på et papir som du lagrer på et trygt sted.
Nettleseren foreslår et passord
Noen nettlesere vil foreslå sterke passord når du skal lage passord til en ny tjeneste. Dette styres av en tilleggsmodul i nettleseren. De passordene som foreslås av nettleseren er sterke, men ofte vanskelig å huske. Bruk gjerne denne funksjonen dersom du benytter et passordhåndteringsprogram.
Hvordan får andre tilgang til mine kontoer
Internett består av flere nettsider som lar deg registrere en konto på nett. Disse kontoene inneholder opplysninger om deg og din aktivitet, eksempelvis på Facebook eller i nettbanken.
Hvert år utsettes mange for såkalt «hacking» der uvedkommende kommer seg inn på deres kontoer. Hackeren kan være noen du kjenner som ønsker å snoke på deg, eller noen i utlandet som ønsker å spre ondsinnede meldinger til dine venner. Men hvordan får de egentlig tilgang til kontoen?
- Du blir utsatt for et «brute-force» angrep. Et brute-force angrep vil si at innbryteren (med hjelp av dataverktøy) forsøker alle mulige kombinasjoner av ord, bokstaver, tall og symboler til det stemmer overens med ditt passord. Da kan de logge seg inn på din konto. Dette kan være enkelt for innbryteren dersom passordet ditt er kort, men vanskelighetsgraden øker betraktelig dersom passordet er lenger og mer komplekst. Vi anbefaler at passordet består av minst 16 tegn, med kombinasjoner av både symboler, tall og små/store bokstaver.
- Passordet blir lekket. Nettsider blir stadig kompromittert av hackere som bryter seg inn. Dette fører ofte til at opplysninger som ditt brukernavn og passord kommer på avveie. I praksis betyr det at uvedkommende har mulighet til å logge seg inn på din konto på den aktuelle nettsiden, men også andre steder hvor du har brukt samme passord. Det er derfor svært viktig å ha et unikt passord for hver enkelt nettside hvor du er registrert.
- Phishing eller sosial manipulering. Du blir lurt til å utføre en handling, av en eller flere personer som utgir seg for være noen de ikke er. Eksempler på dette er e-poster fra «Netflix» med en link til en falsk side, hvor du blir bedt om å logge inn, slik at svindlerne får tak i brukernavn og passord, eller telefonsvindlere som utgir seg for å være Microsoft. De kontakter deg på telefonen og overbeviser deg om at de har oppdaget et “virus” på din maskin. Ved å følge instruksene deres om hvordan dette fiktive viruset kan fjernes, så installeres et ekte virus som overvåker din maskin.
Har passord blitt lekket?
På internett er det en tjeneste som undersøker om din epost-adresse, brukerkonto eller passord har blitt avdekket gjennom kjente datainnbrudd. Tjenesten heter «Have I been pwned». Ved å besøke denne tjenesten kan du selv sjekke om din epost-adresse, brukernavn eller passord ligger i oversiktene. Du finner tjenesten her.
Du kan også melde deg på en varslingstjeneste der, da får du en e-post fra siden dersom den oppdager at et passord du har brukt i kombinasjon med e-postadressen din, har blitt lekket. Dersom det skulle skje, bytt det aktuelle passordet. Forhåpentligvis har ikke det aktuelle passordet blitt brukt på flere steder, slik at du ikke trenger å endre mer enn ett passord.
Synes du dette ble for komplisert? Vi laget en forenklet “sikker påloggings” veiledning her.