Við notum öll lykilorð á hinar ýmsu þjónustur, alveg sama hvort það er á Facebook, heimabankann, “Mínar síður” eða eitthvað annað. Að hafa gott leyniorð er gríðarlega mikilvægt ásamt því að hafa ekki sama leyniorð á mörgum stöðum.

Þó svo að gott leyniorð hafi ekki komið í veg fyrir að upplýsingalekan hjá Vodafone þá eru margir að hugsa um þetta í dag enda augljóst að þessu er ábótavant hjá mjög mörgum.

Það er ekki til neitt sem er “100% rétt” í þessum fræðum og það sem var öruggt síðasta sumar er það kannski ekki lengur. Það eru mjög margir notendur sem eru að nota sama leyniorðið á mörgum stöðum og/eða eru með of einföld leyniorð eins og kom berlega í ljós í Vodafone lekanum.

Margmið með þessari færslu er því aðallega til að fá fólk til að nota orð sem eru ekki til í orðabókum eða í orðalistum á netinu. Fysta sem gerist við brute-force árásir er að forritin prófa þekkt orð og orða sambönd og því er markmiðið að fá fólk til að hætta að nota þannig leyniorð.

 

Bendi á athugasemdir sem eru komnar hér að neðan.

 

Hvernig vel ég gott leyniorð

Veldu þér laglínu úr lagi sem er þér ofarlega í huga en núna nota ég þetta.

  • Jólasveinar einn og átta ofan koma af fjöllunum

Ef það eru orð sem hljóma eins og tölustafir þá er um að gera að breyta þeim.

  • Jólasveinar 1 og 8 ofan koma af fjöllunum

Ef við tökum fyrsta stafinn úr hverju orði þá ertu kominn með flott leyniorð.

  • J1o8okaf

Síðan bætir þú við táknum eins og til dæmis: @ ? : # $ % ! +  og þá ertu kominn með.

  • #J1o8okaf:

Þarna ertu kominn með ágætis leyniorð með tákni, hástaf, lágstaf og 10 stafir að lengd en við viljum samt ekki nota sama leyniorðið á allar okkar þjónustur. Það eru því auka krúsídúllur sem bæði gera leyniorðið enn sterkara og sérkennandi fyrir þjónustuna sem það er notað er á. Þá er skammstöfun á viðkomandi þjónustu bætt framanvið eða aftanvið.

  • Facebook er þá t.d.   Fb#J1o8okaf:   –   eða #J1o8okaf:Fb
  • Twitter er þá t.d.   Tw#J1o8okaf:   –   eða #J1o8okaf:Tw
  • Heimabanki er þá t.d.   Hb#J1o8okaf:   –   eða #J1o8okaf:Hb

 

Hér er myndband sem útskýrir þetta ágætlega

 

 

 

Það er ávallt á ábyrgð notendans að velja sér góð leyniorð þó svo að ég vilji leggja meiri kröfur á þjónustuaðilan eða kerfisstjórann. Hann á að gera kröfu um flókin leyniorð ásamt því að hann á aldrei að vista leyniorðin þannig að hægt sé að endurheimta eða sjá þau. Ef notandi þarft að endurheimta gleymt leyniorð þá á það ekki að vera hægt, notendur ættu bara að hafa möguleikan á því að velja sér nýtt leyniorð en þetta er efni í sér pistill.

Til viðbótar við þetta þá læt ég Chrome vafrann frá Google aldrei vista leyniorð enda eru þau vistuð ódulkóðuð og (mögulega) samstillt þannig á milli tölvu og annara tækja.

Hér er ágætis samantekt hjá Stefáni Jökul um leyniorð og aðrar öryggispælingar en höfundur bentir t.d. á LastPass og 1Password sem eru “leyniorðastjórar”. Þessir stjórar eru með einu góðu aðalleyniorði (e. Master Password)  en þegar inn er komið þá heldur stjórinn utan um öll önnur leyniorð fyrir notendur.

 

Skrifaðu nú skemmtilegar og jákvæðar athugasemd

athugasemdir