Passord har vært brukt siden tidenes morgen for å sørge for autentisering av personer og informasjon. Idéen om at hemmelig informasjon kan brukes for å begrense tilgang er like gammel som den er god.

Problemet er at det ikke er like åpenbart for alle, at ‘hemmelig’ er nøkkelordet. Brukere er mer opptatt av sin egen bedagelighet enn av sikkerhet, og velger ofte, om de gis muligheten, trivielle passord eller skriver passord ned i klartekst.

Systemadministratorer er gjerne frustrerte over brukeres slette omgang med passord og innfører stadig strengere krav som fører til at enda flere brukere skriver ned passordet sitt på en post-it som de klistrer på skjermen.

Jeg har forståelse for at brukere gjør dette. De vet rett og slett ikke bedre. De kunne visst bedre, om de hadde tatt seg tid til å lære seg noen enkle regler, men å forvente at brukere skal ha egeninteresse av å investere sin tid i å gjøre ting lettere og sikrere på sikt har jeg sluttet med for lenge siden.

Så, hvis brukere trenger å skrive ned noe for å huske det, hvorfor ikke la dem gjøre det? Hadde det ikke vært bra med en løsning der brukere _både_ kan skrive ned huskelapper og samtidig lager sikre passord?

For å demonstrere, min forrige ‘gule lapp’ var ordet ‘tradisjonell’ og nå er det ‘opplevelser’. Det er alt jeg trenger for å få tilgang til alle servere jeg administrerer, en 50-60 stykker, all hypersensitiv informasjon fra og for kunder, samt min egen maskin. Nå har jeg riktignok ingen gul lapp fordi jeg har laget meg rutiner på hvordan jeg skal huske likevel, men poenget bør likevel være klart.

Før du nå begynner å ‘hacke’ på maskinene mine, den informasjonen alene gir deg selvfølgelig ingen verdens ting. La meg forklare:

Obfuskering er en teknikk som kan hjelpe folk til å huske sensitiv informasjon. Obfuskering baserer seg på å ta en kjent informasjon og obfuskere, eller gjøre vanskelig å kjenne igjen, informasjonen. Obfuskering kan for eksempel bety at du har et fast sett med regler som du bruker for å manipulere informasjonen til det ugjenkjennelige.

Informasjonen i dette tilfellet er et nøkkelord som du velger, og gjerne skriver ned, som danner grunnlaget for passordet ditt. Deretter tar du et sett med regler og manipulerer nøkkelordet, altså obfuskerer det.

Disse reglene må du lage selv. Et eksempel kan være at du har en sønn som heter Erik, som er født i 1986. Du kan da ta alle forekomster av bokstaven ‘e’ i nøkkelordet og bytter med 86. Det kan være at din første bil var en Opel Ascona 78, og derfor bytter du bokstaven O med Asc78.

Si at du da har valgt nøkkeloverdet opplevelser, slik jeg har nå. Bruk da reglene som over til å manipulerer ordet ‘opplevelser’ til passordet ‘Asc78ppl86v86ls86r’. Skriv ned nøkkelordet på en post-it, klistre på skjermen, og du har en relativt lett måte å finne passord utfra ditt hemmelige sett med regler og nøkkelordet.

Valg av regler blir da relativt viktig, men det finnes også tips der. Her er noen tips og eksempler på regler som kanskje kan gi inspirasjon:

– Bytt alle doble konsonanter med enkle konsonanter etterfulgt av bokstaven d
Eksempel: alle blir til alde
– Bruk ikke-alfanumeriske tegn, altså tegn som ikke er a-å eller tall som del av regelen.
For eksempel: 3 byttes med ## (shift-3) og alle blir da all##
OBS! Husk at utenlandske tastatur ikke nødvendigvis har de samme ikke-alfanumeriske tegn på de samme tastene. For eksempel har norske tegn alfa-krøll på ALTGR+2, mens amerikanere bruker SHIFT-2
– Bruk utskiftingsregler på bokstaver som ofte er brukt i nøkkelord. Regler for å bytte z med noe annet er kanskje ganske håpløst, siden z så sjelden brukes i norske ord. r, s, t og n er bra tips, og selvfølgelg vokaler.
– Varier om alle eller for eksempel bare første forekomst av et ord skal byttes. Hvis bare første forekomst av bokstaven l skal byttes med 1, blir ‘alle’ til ‘a1le’
– Bruk nøkkelord av en viss lengde og velg utskiftingsregler som gir _flere_ tegn enn du bytter ut. For eksempel kan du bytte ‘a’ med ‘&&22’
– Benytt regler i bestemt rekkefølge. Bruker du alle reglene som står i tipsene og eksemplene her blir nøkkelordet ‘alle’ til ‘alde’ til ‘ald##’ til ‘a1d##’ til ‘&&221d##’ som er vesentlig sikrere.

Videre hender det at man har behov for å generere mange passord. I mitt eksempel har jeg unike passord på alle servere jeg administrerer. Igjen finnes det måter å lage sikre, unike passord som er lette å huske. Måten dette gjøres på er å ta et felles nøkkelord, for eksempel ‘johan’ og kombinere med sted-spesifikk informasjon, for eksempel navn på kunde eller domenenavn. Kombiner denne informasjonen for å få unikt nøkkelord og bruk obfuskering som over.

Har du en kunde som heter ‘Firma AS’ kan du altså lage nøkkelordet ‘Johan-FirmaAS’ og obfuskere dette med dine unike obfuskeringsregler. Skal du huske passordet ditt på ebay.com kan du bruke ‘Johan-ebay.com’ som nøkkelord. Skal du være virkelig avansert har du også regler for å obfuskere domenenavnet, for eksempel ved å snu rekkefølgen på bokstavene (‘Johan-moc.yabe’) eller bytte første og tredje bokstav (‘Johan-abey.com’) før du obfuskerer.

Hvilke regler du velger, hvor mange du trenger, om du trenger unike passord over alt, dette er opp til deg og ditt behov. Hvor sikker må du egentlig være for å logge på til dine personlige innstillinger på tv-programmet på dagbladet.no? Det viktige er dog dette:

– Hemmelig er fortsatt viktig. Pass på reglene dine og oppgi dem aldri uansett!

Found this article valuable? Want to show your appreciation? Here are some options:

a) Click on the banners anywhere on the site to visit my blog's sponsors. They are all hand-picked and are selected based on providing great products and services to the SharePoint community.

b) Donate Bitcoins! I love Bitcoins, and you can donate if you'd like by clicking the button below.

c) Spread the word! Below, you should find links to sharing this article on your favorite social media sites. I'm an attention junkie, so sharing is caring in my book!

Pin It

Published by

Bjørn Furuknap

I previously did SharePoint. These days, I try new things to see where I can find the passion. If you have great ideas, cool projects, or is in general an awesome person, get in touch and we might find out together.

Leave a Reply

Your email address will not be published.