Við notum öll lykilorð á hinar ýmsu þjónustur, alveg sama hvort það er á Facebook, heimabankann, “Mínar síður” eða eitthvað annað. Að hafa gott leyniorð er gríðarlega mikilvægt ásamt því að hafa ekki sama leyniorð á mörgum stöðum.
Þó svo að gott leyniorð hafi ekki komið í veg fyrir að upplýsingalekan hjá Vodafone þá eru margir að hugsa um þetta í dag enda augljóst að þessu er ábótavant hjá mjög mörgum.
Það er ekki til neitt sem er “100% rétt” í þessum fræðum og það sem var öruggt síðasta sumar er það kannski ekki lengur. Það eru mjög margir notendur sem eru að nota sama leyniorðið á mörgum stöðum og/eða eru með of einföld leyniorð eins og kom berlega í ljós í Vodafone lekanum.
Margmið með þessari færslu er því aðallega til að fá fólk til að nota orð sem eru ekki til í orðabókum eða í orðalistum á netinu. Fysta sem gerist við brute-force árásir er að forritin prófa þekkt orð og orða sambönd og því er markmiðið að fá fólk til að hætta að nota þannig leyniorð.
Bendi á athugasemdir sem eru komnar hér að neðan.
Hvernig vel ég gott leyniorð
Veldu þér laglínu úr lagi sem er þér ofarlega í huga en núna nota ég þetta.
- Jólasveinar einn og átta ofan koma af fjöllunum
Ef það eru orð sem hljóma eins og tölustafir þá er um að gera að breyta þeim.
- Jólasveinar 1 og 8 ofan koma af fjöllunum
Ef við tökum fyrsta stafinn úr hverju orði þá ertu kominn með flott leyniorð.
- J1o8okaf
Síðan bætir þú við táknum eins og til dæmis: @ ? : # $ % ! + og þá ertu kominn með.
- #J1o8okaf:
Þarna ertu kominn með ágætis leyniorð með tákni, hástaf, lágstaf og 10 stafir að lengd en við viljum samt ekki nota sama leyniorðið á allar okkar þjónustur. Það eru því auka krúsídúllur sem bæði gera leyniorðið enn sterkara og sérkennandi fyrir þjónustuna sem það er notað er á. Þá er skammstöfun á viðkomandi þjónustu bætt framanvið eða aftanvið.
- Facebook er þá t.d. Fb#J1o8okaf: – eða #J1o8okaf:Fb
- Twitter er þá t.d. Tw#J1o8okaf: – eða #J1o8okaf:Tw
- Heimabanki er þá t.d. Hb#J1o8okaf: – eða #J1o8okaf:Hb
Hér er myndband sem útskýrir þetta ágætlega
[embedvideo id=”COU5T-Wafa4″ website=”youtube”]
Það er ávallt á ábyrgð notendans að velja sér góð leyniorð þó svo að ég vilji leggja meiri kröfur á þjónustuaðilan eða kerfisstjórann. Hann á að gera kröfu um flókin leyniorð ásamt því að hann á aldrei að vista leyniorðin þannig að hægt sé að endurheimta eða sjá þau. Ef notandi þarft að endurheimta gleymt leyniorð þá á það ekki að vera hægt, notendur ættu bara að hafa möguleikan á því að velja sér nýtt leyniorð en þetta er efni í sér pistill.
Til viðbótar við þetta þá læt ég Chrome vafrann frá Google aldrei vista leyniorð enda eru þau vistuð ódulkóðuð og (mögulega) samstillt þannig á milli tölvu og annara tækja.
Hér er ágætis samantekt hjá Stefáni Jökul um leyniorð og aðrar öryggispælingar en höfundur bentir t.d. á LastPass og 1Password sem eru “leyniorðastjórar”. Þessir stjórar eru með einu góðu aðalleyniorði (e. Master Password) en þegar inn er komið þá heldur stjórinn utan um öll önnur leyniorð fyrir notendur.
1 athugasemd
Það er eitt sem ég vara við varðandi aðferðina sem þú notar hér að ofan, hún er mjög góð þar til kemur að því síðasta. Ef þú værir að nota þetta lykilorð #J1o8okaf:Tw og segjum að Twitter væri ekki að nota dulkóðuð lykilorð og einhver kæmist yfir lykilorðin hjá þeim þá ert þú í rauninni exposed. Ef þú notar bara skammstafanir í endanum til að aðskilja hvert lykilorð þá er létt að draga þá ályktun að þú hljótir að nota #J1o8okaf:Fb fyrir Facebook.
Mér finnst hjálpa mér að semja virkilega steiktar sögur um hvert lykilorð og skálda sérnöfn. Eitthvað svo fáránlegt að það væri ólíklegt að finna það á orðalista. Að sjálfsögðu skipti ég út stöku bókstaf fyrir tölustað og nota tákn en ef valið væri um að hafa nokkra random stafi sem væri erfitt að muna þá tæki ég frekar rosalega langt lykilorð með skálduðum orðum sem væru ekki að finna í neinum orðalista.
Svo eru sum kerfi sem breyta líka unicode stöfum sjálfkrafa yfir í ASCII og lykilorðin verða lakari fyrir vikið þótt þau væru öruggari á kerfum sem styðja það.
Athugasemdir eru lokaðar