Å aldri bytte passord er ingen god idé. Det blir godt illustrert av nettjenesten Haveibeenpwned. Nylig oppdaterte de sine arkiver med 200 millioner lekkede passord.
Det er den australske sikkerhetsmannen Troy Hunt som står bak tjenesten som lar deg søke med passord for å se om du har vært rammet av en passordlekkasje.
I løpet av de siste årene har stort sett alle de største aktørene vært utsatt for en eller annen form for lekkasje.
Passordet mitt er på avveie :(
Nettjenesten Haveibeenpwned baserer seg på hashverdier fra passordlekkasjer i SHA-1-format. Informasjonen er sammensatt fra diverse datalekkasjer som florer rundt om på internett.
Undertegnende kan konstatere at mine passord har vært på avveie tre ganger i løpet av de siste ti årene.
I versjon én av tjenesten hadde arkivet rundt 300 millioner passord. Med den nye tilveksten på 200 millioner passord teller nå nettjenesten rundt én halv milliard passord.
Hunt bemerker at listen ikke nødvendigvis består av 500 millioner rene passord, men det er også underordnet formålet, påpeker han ifølge Version2.
Bør implementeres i rutinene
Listen kan hentes ned og implementeres i egne sikkerhetsrutiner. Retningslinjer fra den amerikanske standardiseringsorganisasjonen NIST anbefaler faktisk organisasjoner å blokkere passord som har vært eksponert i en lekkasje.
Hvordan bør så et passord være?
På 90-tallet begynte vi å stille krav til hvordan passordene skulle se ut. Minst ti tegn, ett spesialtegn, to tall og så videre.
Reglene ble utformet ved det Nasjonale Instituttet for Standarder og Teknologi. Mannen bak rapporten NIST Special Publication 800-63. Appendix heter Bill Burr. Han er i dag 72 år gammel.
Angrer på kravene han innførte
I 2017 beklaget han til alle berørte.
– Rådene har i stor grad vist seg å være feil. Jeg angrer på mye av det jeg gjorde, sa han til Wall Street Journal i fjor sommer.
Han forklarer at rådene var basert på teorier fra 80-tallet, og at han ikke klarte å skaffe seg tilgang til databaser som inneholdt ekte passord. Empirien uteble, og Burr klarte ikke forutse problemene som skulle oppstå da rådene ble innført i praksis, skrev digi.no den gang.
For innviklede passord er ikke nødvendigvis sikrere enn tilsynelatende enkle passord. En frase som «!z0@tb4F» har 46-bits entropi, og vil ta dagesvis å knekke med dagens teknologi. Samtidig krever det poetiske «Erlend, er en idiot og et fehue!» – som har 59-bits entropi – århundrer å knekke.
Det enkle er det beste
Ifølge passordekspert Per Thorsheim bør vi derfor holde det enkelt.
En lang setning som er enkel å huske, er stort sett det beste passordet vi kan velge.
– Om vi klarer å overbevise folk til å lage et langt og sikkert passord er vi langt på vei. Når folk spør meg hva et godt passord er, så sier jeg at de skal skrive en setning. Det spiller ingen rolle hvor lang den er, for en setning inneholder ofte flere ord, sa Thorsheim til digi.no i en tidligere artikkel om hyppig passordbytte.
– I tillegg har den mellomrom mellom ordene, og benytter seg ofte av store bokstaver og andre spesialtegn som komma, punktum og utropstegn. Om man lager en setning som gir en positiv assosiasjon er det også en mye større sannsynlighet for at man husker passordet.