Viktigheten av sterke og unike passord
Passord er fundamentalt for vår digitale sikkerhet. De beskytter vår personlige informasjon og eiendeler, enten det er bankkontoen eller profilen på sosiale medier. Til tross for dette er det mange som tar lett på passordsikkerhet og gjenbruker det samme passordet på tvers av flere plattformer, gjerne fordi det er enkelt å huske.
Teknologien har utviklet seg, både for sikkerhet og for de som prøver å omgå den. Det å benytte ett passord på alle kontoer øker risikoen for å bli et mål for cyberangrep. Det finnes også andre ulemper som kanskje ikke er så åpenbare.
Her er noen grunner til at det er viktig å være mer forsiktig med passordene dine:
1. Angrep ved bruk av stjålne legitimasjoner
Du er ikke alene om å bruke samme passord overalt. Ifølge NordPass’s nettside er det mange som velger enkle og forutsigbare passord, som «gjest» eller «passord». Dette er en risikabel vane, da disse passordene er enkle å knekke.
Hvis du bruker et svakt passord på alle dine kontoer, blir du et enkelt mål for et såkalt «credential stuffing» angrep. Dette er en type angrep hvor en stor mengde stjålne passord og brukernavn prøves på tusenvis av forskjellige nettsteder. Om ditt gjenbrukte passord skulle være blant de stjålne, kan mange av dine kontoer komme i fare.
2. Fare for bedriftskontoer
I 2012 opplevde Dropbox et datainnbrudd som rammet 69 millioner brukere. Ifølge The Guardian skjedde dette fordi en Dropbox-ansatt brukte samme passord på Dropbox som han tidligere hadde brukt på LinkedIn. Da hans LinkedIn-konto ble hacket, fikk angriperne også tilgang til Dropbox sitt interne nettverk.
Dette viser at gjenbruk av passord for firmakontoer utsetter både deg selv og bedriften for betydelig risiko. Derfor bruker mange teknologibedrifter passordadministratorer for å generere og lagre sterke passord.
Ved å legge til ansatte eller innleide konsulenter i passordadministratoren, får de enkel tilgang til alle kontoer med passord som er lagret i appen. Dette gjør påloggingsprosessen enklere, og det eliminerer behovet for å dele passordene direkte.
Gjenbrukte eller lignende passord er svake, ikke unike og lett forutsigbare. Hackere kan enkelt knekke slike passord ved hjelp av kunstig intelligens (AI). Til og med den gratis versjonen av ChatGPT kan benyttes til å brainstorme slike passord:
Dersom oppfordringen over er for enkel, kan hackere omgå ChatGPT sine begrensninger og komme opp med mer personlige oppfordringer for å gjette passordene dine.
For eksempel skrev jeg en oppfordring der jeg lot som jeg skrev en historie om en fiktiv karakter, Adam (enhver likhet med faktiske personer er tilfeldig), der hackere prøver å bryte seg inn på Facebook-kontoen hans:
Her er en liste med passord ChatGPT kom med:
Noen av disse passordene kan virke usannsynlige, men vi har en tendens til å velge passord vi lett husker. Jo mer hackere vet om oss, desto større er sjansen for at de kan gjette passordet vårt. Spesielt da vi gjerne legger ut mye av informasjonen vår på sosiale medier.
Avanserte verktøy for å knekke passord med AI har et helt annet nivå av effektivitet. Disse verktøyene tester vanlige passord ved å benytte seg av varianter av ord og kombinasjoner som er funnet i tidligere datainnbrudd.
Et passord som «qwerty» kan knekkes på under et sekund. Å legge til tall, som «qwerty12345», gjør det ikke noe særlig vanskeligere. Mange verktøy ser etter mønstre, og de mest åpenbare kombinasjonene er lett å identifisere.
3. Passorddeling øker sårbarheten
Det er dårlig praksis å bruke samme passord flere steder, men det er enda verre å dele gjenbrukte passord med andre. Selv om du stoler på personen du deler passordet med, kan du ikke garantere at vedkommende ikke blir utsatt for datainnbrudd. Hvis enheten til den du har delt passord med blir kompromittert eller stjålet, øker risikoen for dine kontoer betraktelig.
Når en hacker har tilgang til en enhet, er alle kontoer og data i fare. Hvis du deler en Netflix-konto med noen, og deres bærbare datamaskin blir hacket eller stjålet, kan kredittkortinformasjonen din fort havne i feil hender.
Bruk derfor sterke og vanskelig passord. Deretter kan du benytte tofaktorautentisering eller en passordadministrator for å dele passord på en sikker måte med venner og familie for å minimere risikoen.
4. Sosial manipulasjon
Sosial manipulasjon, eller «social engineering», handler om å manipulere folk til å utlevere privat informasjon. Dette er mer en psykologisk teknikk enn en teknisk ferdighet. Phishing-lenker er et vanlig eksempel på dette.
Det er ikke lenger bare phishing-lenker som fører deg til en falsk Facebook- eller Instagram-påloggingsside. Hackere utgir seg for å være venner, kolleger eller pålitelige organisasjoner for å få deg til å klikke på lenker som kompromitterer kontoene dine.
En hacker kan for eksempel be deg om å registrere deg for deres nye tjeneste, for å se hvilket passord du bruker. De kan også kontakte deg fra en vens konto som er blitt kompromittert. Mange er mindre skeptiske til lenker de mottar fra venner, noe som gjør dette til en enkel felle å gå i.
Siden du sannsynligvis kommer til å bruke samme passord som andre steder når du registrerer deg for tjenesten, vil hackeren prøve å bruke det passordet på alle kontoer de kjenner til. Hvis du bruker det samme passordet for bankappen, kan det fort by på problemer.
Denne teknikken fungerer dessverre alt for ofte.
5. Økt risiko for innsideangrep
Gjenbruk av passord øker også risikoen for innsideangrep. Hvis en ansatt som kjenner et passord slutter, og passordet ikke endres, vil den tidligere ansatte fortsatt ha tilgang til alle sensitive data.
Hvis en innsider har et passord som har blitt brukt flere steder, er alle apper og tjenester i fare. Personen kan utøve svindel, utnytte sårbarheter eller skade datasystemer. Innsidere kan også utgi seg for å være ansatte for å manipulere kollegaer til å dele konfidensiell informasjon.
På samme måte kan det være vanskelig å spore en innsider om det samme passordet benyttes på flere nettsteder. Du kan redusere risikoen for innsideangrep ved å innføre gode sikkerhetsrutiner og gi alle ansatte unike passord.
Vær kreativ, hemmelighetsfull og streng med passord
Uansett hvilke andre sikkerhetstiltak du iverksetter, vil din online tilstedeværelse være i fare dersom du gjenbruker det samme passordet på forskjellige plattformer. Gjenbruk av passord er kanskje praktisk, men du vil angre hvis kontoene dine blir hacket.
Heldigvis kan det hende at du ikke trenger å benytte passord i fremtiden. Tjenester som Apple PassKeys bruker biometrisk autentisering som FaceID eller TouchID for å logge deg inn på kontoer. Dette eliminerer behovet for passord, da tjenesten bruker en kryptografisk nøkkel i stedet. Etter hvert som flere selskaper implementerer dette, vil passord kanskje bli historie.