Om Hjørnet

I bloggen min skriver jeg om det som faller meg inn der og da. Derfor har den ingen rød tråd eller samlende tema, med den konsekvens at kategorien Diverse ganske stor. Bloggen min inneholder meninger, anekdoter fra dagliglivet, konspirasjoner, anvendt finans, filosofering, dikt jeg har skrevet og mye mer. Den dagen det bare er tørt […]

Print Friendly, PDF & Email

Les videre »

Kontakt

Navn (nødvendig):

E-mail (nødvendig):

Emne:

Melding:

Skriv bokstavene i bildet under:

captcha

Print Friendly, PDF & Email
Del denne posten:

Abonnér

Legg igjen e-mail, så får du mail når jeg publiserer nytt innhold.

Ta kontakt i sosiale medier

Du finner meg her:

Mye lest siste 30 dager

Sorry. No data so far.

Søk, og du skal finne (håper jeg)

Datasikkerhet på høyde med de beste

10.04.07 i Diverse

Her hos oss har vi satt datasikkerhet i høysetet. Så til de grader at da jeg i dag tidlig hadde glemt det passordet jeg hadde endret til rett før påske, så tok det meg en time og mange telefoner å få logget meg inn. Det som i tillegg gjør livet litt kinkig akkurat nå, er at den av en eller annen grunn i den prosessen rotet bort min personlige profil, med det resultat at shortcuts og IE-favoritter er borte vekk. Men det er det jo bare å se som en mulighet til å begynne på ny frisk.

Om noen stjeler min bærbare PC, vil de ikke ha noen glede av den. Det er komplett umulig å logge seg på en av våre bærbare. Den er så kryptert og sikret at den er fullstendig ubrukelig. Dessverre er den så kryptert og sikret at det gjør det vanskelig å bruke den utenfor huset også, med alle sine koder og passord og timeouts. Da har du selvsagt mistet noe av poenget med en bærbar PC. Forøvrig kan vi ikke logge oss på eksternt fra uten å ha en såkalt Secure ID token. Don’t leave home without it. Ettersom du da ikke kommer inne på noe om du skulle ha behov.

Ikke alle har det samme forholdet til sikkerhet. Og det svakeste ledd er som regel brukernes passord. I en verden der vi må huske koder og passord så til de grader at vi får overload, har folk det med å velge noe som er mulig å huske, så klart. Og da skal det ikke mer til fra en hackers side enn å være litt kreativ og finne ut av barn, ektefeller og kjæledyr heter, så kommer man som regel inn. Det enkleste er ofte det beste. Ingen grunn til å overdrive innsatsen på områder der det bare er å gjette to ganger på passordet, så er du inne.

Vanlige passord – som dermed er lette å gjette er:

Navnet ditt
Ektefellens navn
Barnets navn
Kjæledyrets navn
Årstid (sommer07, vinter07 og så videre)
Fotballag
Lignende bokstaver (f.eks. AAAA eller ABCD)
«Passord»
Brukernavnet

Er det så enkelt, så er det bare å gjette tre ganger, så er den som vil inne i bedriftens system. Dette er et problem for bedrifter og offentlige institusjoner, først og fremst, fordi det er i forhold til bedriftshemmeligheter og hemmelig informasjon at det er noe å hente på å hacke seg inn. Og ikke alle arbeidsgivere er like paranoide som min. Det er dermed noen ganger svært enkelt å komme seg inn. Det betyr ikke at det ikke er lurt å ha noenlunde vanskelige passord også på sin private PC, det skal bare så mye mer til for at man er et mål.

Problemet er selvsagt å finne balansen mellom sikkerhet og så høy sikkerhet at den saboteres. Er det for vanskelig å huske, kommer folk garantert til å skrive det opp på et lett tilgjengelig sted. Og da hjelper det fint lite med krav til kompliserte passord med store og små bokstaver, tall og minst 14 tegn.

Er det noen som vet om sikre medier til å notere passord i? En slags elektronisk lommebok der du lagrer alle dine passord, og dermed kan klare deg med ett? Altså det du trenger for å åpne den elektroniske lommeboken. En slik kunne jeg tenke meg.

Print Friendly, PDF & Email
Del denne posten:

Tagget med:

33 kommentarer

Trackback URL | Kommentar-feed

  1. tamen sier:

    Min Sony Ericsson mobil (T630) har en slik funksjon.
    Den ligger under Verktøy->Kodeminne. Jeg vil tro flere mobiltelefoner har en slik funksjon.

  2. Iskwew sier:

    Skal sjekke om min har det! For jeg blir snart sprø av alle passord. Jeg har en Sony Ericsson 910.

  3. Håkon sier:

    Jeg er litt skeptisk til kodeminnet i mobiltelefoner ettersom det bare er beskyttet av en firesifret PIN-kode. Det blir litt som å legge alle egg i én kurv, og Sony Ericsson har ikke fortalt hva de har laget denne kurven av.

  4. Iskwew sier:

    Du kan legge flere lag med koder – men jeg ser hva du mener, Håkon. Spesielt om du lagrer mye på samme sted, vil det jo kunne innebære at identiteten din lett kan overtas, til og med.

  5. Håkon sier:

    Om noen påstår at det blir bedre med smartkort og USB-nøkler så har jeg ingen trøst, jeg har for tiden 4 forskjellige med forskjellig PIN på hver av dem. I teorien kunne jeg klart meg med en nøkkel og PIN, men teorien er fremdeles litt for vanskelig for det praktiske liv.

    Et praktisk stalltips er å aldri bytte passord eller kode siste dag før du drar på ferie. Det er alt for stor sannsynlighet for at du glemmer det nye passordet. Jeg snakker av bitter erfaring :o)

  6. Iskwew sier:

    Jeg er på grensen til å være for fingeravtrykk og iris. Det er jo det eneste som virkelig er vanskelig og knekke, og det er noe du alltid har med deg.

    Jeg gikk jo i den fellen du snakker om, og endret passordet rett før påskeferien :o)

  7. Goodwill sier:

    Etter å ha lest «Engler og Demoner» er jeg ikke så sikker på om jeg er tilhenger av iris heller. Der tok skurken bare og skar ut hele øyet… *grøss*

    Jeg tror man må la passordene være navn på ett eller annet, slik at de kan huskes. Gjerne kombinert med en nummerering, og koblet til et tema som man forbinder noe med, bare ikke noe som er for nærliggende.

    Fiskevann på Hardangervidda, f.eks.

    Helt tilfeldige tall- og bokstavkombinasjoner blir for vanskelig å huske. Og jeg tror vi blir nødt til å huske dem i hodet, dessverre. Å lagre dem et sted som du må ha passord for å komme inn på tror jeg blir å blottlegge seg mye.

  8. Iskwew sier:

    Ja, jeg tenkte også på Engler og demoner, Goodwill, i det jeg skrev *grøss*

    Du må finne noe du kan huske, ja, som likevel ikke er åpenbart noe som kan knyttes til deg. Og det er ikke lett, i lengden.

    Her må vi ha små og store bokstaver, pluss tall. Det skal litt til å knekke dem.

  9. Jeg bruker nesten alltid en tallkode som betyr noe for meg, men som med rimelig sikkerhet ingen andre vil gjette. Noen ganger kombinert med et par bokstaver, der har jeg et slags system.

  10. Håkon sier:

    Nå er Dan Browns sikkerhetsfaglige kvalifikasjoner temmelig tynne, men det har blitt demonstrert svakheter systemer med retinaskanning som er mindre blodige enn hva enkelte krimforfattere forestiller seg.

    Fingeravtrykk som identifikasjon for personlig utstyr har også den svakheten at er det noe sted du legger igjen et rikelig antall av dine egne fingeravtrykk, så er det på gjenstander som mobil og PC. (Det blir kanskje litt vrient å huske på å tørke godt av mobilen din før du mister den.)

  11. Milton Marx sier:

    Et enkelt og greit sted å notere passord er adresseboka, almanakken, agendaen eller hva man nå måtte ha.

    Man har 140 kjenninger, og man har i tillegg noen som man IKKE kjenner. Da kan f.eks. kamuflere et passord som en del av et telefonnummer, eller flere.

    I Danmark hadde jeg tilgang til telefonkatalog sortert på nummer (ikke navn). Da fant jeg bare et telefonnummer som inneholdt minibankkoden min, og la inn navnet med riktig telefonnummer i adresseboka. Selv ikke en telefon til pågjeldende nummer ville vist at det var en tulleoppføring.

    Ellers er jo frekke ord på mongolsk også en mulighet.

  12. Milton Marx sier:

    Det latinske navnet på din ex-svigermors helseplager er også en mulighet.

  13. nessie sier:

    Tror det finnes et program (kanskje flere? Har ikke lett) for pdaer, smartmobiler etc. som er til å lagre passord i. Det skal være ganske kryptert og krever passord for å i det hele tatt starte. Så kan du ha ett tungvindt passord å huske/kamuflere, istedet for hundreogørten.

  14. Megler Smekk sier:

    Hei Iskwew,

    kjøp en U3 USB smart drive, det følger med et program for passord

  15. Iskwew sier:

    Skorpionkvinnen, det gjelder å ha noe som betyr noe, slik at det er mulig å huske.

    Håkon, det finnes sikkert et hav av begrensninger på det meste. Og nei… jeg løper i hvert fall ikke rundt og tørker av mobilen hele tiden.

    Milton, det med telefonnummer hørtes faktisk ganske genialt ut. Det vil jo ta lang tid å finne ut hvor koden er gjemt i hvert fall.

    Nessie, jeg må sjekke om jeg ikke kan finne noe slikt, ja. For det begynner etterhvert å vokse en over hodet, alle disse passordene.

    Megler Smekk, problemet med de smartdrivene er jo at de er så lette å miste.

  16. Milton Marx sier:

    En ting som i alle fall er greit, er at telefonnumre som er skrevet for hånd ikke er søkbare eller maskinlesbare. Det å identifisere den ene biten informasjon som du ikke vedkjenner deg blant store mengder info du kjenner er ikke lett gjort.

  17. Erlend sier:

    Hvis først noen andre har fysisk kontroll over PC-en, hjelper det ikke med passordbeskyttelse (man må eventuelt kryptere filene, men det høres nokså tungvindt ut).

  18. Iskwew sier:

    Jepp, det er slett ikke dumt, Milton. Det blir jo med en gang mye vanskeligere. Du skal være et mål om noen tar seg bryet da.

    Erlend, hos oss er det kryptert.

  19. Håkon sier:

    Nå har Borgarting lagmannsrett og Bankklagenemnda hatt en del saker med PIN-koder kamuflert som telefonnumre som man bør være oppmerksom på, i det minste dersom det er PIN-koder for bankkort man gjemmer bort på denne måten. Jeg har ikke tenkt å mene noe om Miltons metode… 😉

    Når det gjelder passord så kan det være greit å lage seg sitt eget huskesystem. En mulighet er å bruke setninger som er lette å huske, og sette sammen passordet for eksempel ved å velge ut bestemte bokstaver fra hvert ord. Jeg bruker litt andre huskeregler…

  20. pixelduck sier:

    Det syndes mye med passord og passord er enkelt å knekke. Et passord bestående av 5 bokstaver (disse er gjerne skrevet med små bokstaver) tar ca 12 sek å knekke. Med enkle endringer kan dette endres, For eks store bokstaver, tegn mv, ja tegn jeg gjerne «oversetter/benytter» når jeg hyler til «ongen» min: » Se til H%»#¤&e å gi f~%£€ med det h&§»@& tullet der!»

    Benytt derfor mer kreativitet! Marilyn Monroe eller James Bond holder ikke. Da bedre med noe som:» mary_ me _bond_more_sex» ja, kun som et eks da.

    Bare ser et problem jeg om du virkelig tenner på gode passord (tenner, les: forstår viktigheten av) og det er den dagen du Dør!!!

    Passordene i graven! Testamentet digitalt lagret hos Havenco.com i Nordsjøen, den krypterte digitaliserte øyefingertupp-scanneren i den innerste sirkelen av finanseliten i Monaco, eller for den saks skyld, passordet for adgang til MinSide.no om den noensinne fremtrer som fabulert

    Nei, passord er alvorlige greier. Du bare må ha det, må ha det

  21. Iskwew sier:

    Det er sant nok, Håkon. Men hva om man kjenner noen som faktisk har de fire sifrene i telefonnummeret?

    Problemet mitt er at jeg ikke kan bruke de 20 siste passordene. Dermed må jeg finne på et nytt system nå.

    Pixelduck, det bør vel ikke gå så langt så testementet er passordbelagt og ligger i Nordsjøen :o)

  22. olds69 sier:

    En mindre datakyndig venn ba meg vise han noe på maskinen hans.

    Han jobbet som verktsmester på et Toyota verksted, gjett hva passordet hans var:

    Toyota2011

    Hadde starta med Toyota2004 men var kommet opp til 2011 da IT krevde nytt passord hver nittiende dag…
    Oppfylte alle kravene IT satte gjorde passordet også, mixed case og ett eller flere tall…

    Ellers så mener jeg at dersom en slår inn feil pin kode på SE telefoner så får en fortsatt svar men da feil passord? mao ingen som kan vite at en har valgt rett passord.

    Olds69

  23. Undre sier:

    Paranoid som jeg er, har jeg ikke turt å kommentere her i hele dag i frykt for å avsløre passordsystemet mitt.

    :-/

  24. Rambukk sier:

    Dette er problematisk. Jeg tror jeg holder en knapp på tatoveringer mellom tærne, ev. andre steder.

  25. Tiqui sier:

    Aller beste måten å kombinere en tilfeldig bokstav og tall-rekke og likevel huske den er å lage mønster på tastaturet. Jeg har med svært stort hell laget flere slike passord på universitetet (som krever 8 tegn, ingen bokstavkombinasjoner som ligner på ord i noen ordbøker, store og små bokstaver, tall og spesialtegn). Eneste måten å huske et passord som tilfredsstiller de kravene er å sette dem i mønster i forhold til hverandre, men ikke symmetrisk – da godtar ikke uni-systemet dem iallfall.

    En annen løsning er å ta en setning – et sitat eller noe man husker, og bruke forbokstavene i hvert ord – evt. gjøre om noen ord til tall. Da får man også en tilfeldig tegnrekke, men som likevel er mulig å huske.

    Bare et tips fra en nerd…

  26. Tiqui sier:

    Fm1Csfm – for eksempel – som huskes ved setningen: Flesland mistet et concord samme formiddag.

    En tragisk setning som også kan brukes til å huske Norges regjeringsalternativer: Flerparti-, mindretalls-, ettparti-, koalisjons-, samlings-regjering og forretningsministerium…

    Enda et nerdete utslag..

  27. Marina sier:

    En gang laget jeg et helt bombesikkert passord. Det hadde 13 bokstaver/tegn.
    Nettverket på jobben tillater bare 10, så etter at jeg logget ut kunne jeg ikke logge inn igjen…

  28. Håkon sier:

    Isk, domstol og nemnd har lagt flere premisser til grunn for en vurdering om kamufleringen var grovt uaktsom eller ikke. Spørsmålet om det er et reelt telefonnummer eller ikke belyser bare en del av problemet.

    Forslaget til Tiqui om å bruke et mønster på tastaturet kan gi et lite problem dersom man er i et miljø med flere forskjellige tastaturer :o) Systemet med setninger er derimot fornuftig, bare man ligger unna kjente sitater og for enkle regler for å plukke ut bokstaver. Vi kan jo ikke risikere at noen sitter med en portugisisk utgave av Coelho og hacker seg inn til Isks hemmeligheter.

    En løsning for å sikre at passord blir glemt er å lagre en kopi eller en hovednøkkel i en sikker safe, men da kan dette også bli en ny sårbarhet.

    Egentlig er det vel bare å akseptere at vi ikke klarer å lage en 100 prosent sikker løsning basert på teknologi eller regler som er så enkle at alle klarer både å huske dem og å følge dem.

  29. Milton Marx sier:

    Gud hvor glad jeg til tider er for mitt enkle liv! Visa-kortet husker jeg koden til i hodet, og ellers er det eneste jeg trenger av passord det som går til e-post – og den er det egentlig ikke mye hemmelig i.

  30. Elle sier:

    En kode for visa-kortet mitt, en for felleskortet med samboer, en for porten inn til jobben, en for kalkulatoren til nettbanken, en for pc på jobb, en for pc hjemme, ett for et nettsted.

    De tre kodene inn til forskjellige datasystemer (betalte tjenester) har jeg festet på skjermen min. Der er det ikke så farlig om folk ser. De andre husker jeg, men bør kanskje endre kodene oftere.

  31. Iskwew sier:

    Her var det mange gode forslag!

    Jeg skal gå i tenkeboksen og finne på et nytt system til neste gang jeg skal endre passord, det er sikkert.

  32. Tiqui sier:

    Håkon: Det stemmer at det kan bli problemer med mønster-passord når man bruker ulike tastaturer. Jeg oppdaget det når jeg dro til Bolivia og skulle logge meg på universitetsmailen derfra. Bolivianske tastaturer er jo av en helt annen logikk… Men det var ikke verre enn å huske mønsteret og så slå opp hvilket tegn man finner på det norske… Det løste seg iallfall 😉

    Flesland-setningen var en huskeregel jeg konstruerte i samfunnsfagtimen på gymnaset – nettopp for å huske regjeringstypene. Hvor mange år det er siden, vil jeg ikke inn på, men husker det gjør jeg fortsatt – så det funker!

Top