Du surfer mye sikrere om du har forskjellige passord til hvert nettsted du logger på. Foto: Colourbox
Du surfer mye sikrere om du har forskjellige passord til hvert nettsted du logger på. Foto: ColourboxVis mer

Du burde bytte passord

Helgas datainnbrudd er farligere enn du tror.

«Problemet er imidlertid at alt for mange bruker det samme passordet overalt. Eller tre.»


På mandag rapporterte DinSide at halvannen million passord ble stjålet fra Gawker Media, som eier flere av de mest populære amerikanske teknobloggene, deriblant Gizmodo og Lifehacker.

Alle som har kommentert artikler på disse nettstedene har nå fått epostadressen og passordet sitt eksponert for resten av verden, der passordet riktignok er hashet, som vil si at det opprinnelige passordet er matet inn i en funksjon som koder om passordet, men der dette ikke er reversibelt.

Men selv om passordet er hashet, er det fullt mulig å finne ut hva det egentlige passordet er. Siden hashfunksjonen er kjent og listen over hashede passord såpass tilgjengelig, kan hvem som helst prøve seg med ulike passord og sjekke hvorvidt hashverdien blir den samme som en som finnes fra før. I så fall har man truffet blink.

Passordlisten er tilgjengelig for nedlasting flere steder på nettet, så er det fritt frem å prøve seg frem. Bruker du lange og avanserte passord blir det riktignok langt vanskeligere å knekke dem, men er du av typen som bruker "123456", "sommer123", "kristine" eller andre ofte brukte passord, går det kjappere enn du tror å finne ut av det.

Pål Joakim Olsen er teknologiredaktør i DinSide. Vis mer


Og hva så?, spør du deg. Neida, verden går ikke under om noen logger seg på en av de rammede teknobloggene og poster vissvass i ditt navn. Verre ting har skjedd.

Problemet er imidlertid at alt for mange bruker det samme passordet overalt. Eller tre. Tre forskjellige passord som mates litt her og der til dusinvis av nettsteder. Jeg har selv både familiemedlemmer, venner og andre bekjente som stort sett bruker det samme passordet hver gang. Ja, faktisk brukte jeg lenge samme taktikk selv.

Hvordan nettstedet tar vare på passordet ditt vet du ikke. I artikkelen om nettsteder med dårlige passordrutiner så vi på nettjenesten Passwordfail, som lister ut nettsteder, også norske, som lagrer passordet ditt lite hensiktsmessig. Oppgir du til en av disse at du har glemt passordet ditt, får du det samme passordet tilsendt på nytt (i stedet for å motta et nygenerert passord), og det betyr at det vil være lett å finne passordet ditt dersom noen får tilgang til brukerdatabasen.

Om nettstedet opplever datainnbrudd eller rett og slett ikke er til å stole på, kan uvedkommende dermed prøve brukernavn/passord-kombinasjonen din på andre nettsteder.

Det er da det begynner å bli alvorlig.

Har du brukt det samme passordet overalt og noen har funnet det ett sted, betyr det at andre kan logge seg inn og ta over Gmail-kontoen din, Facebook-kontoen, PayPal-kontoen, eBay-kontoen eller hva det måtte være. De kan bestille varer i ditt navn, lese all epost du har lagret, lure vennene dine, fylle last.fm-profilen din med Justin Bieber-låter, kjøpe apps i App Store på din regning eller hva de måtte pønske ut.

Hvorfor skulle de ha interesse av meg, sier du? Jo, nettopp fordi du bare er deg. En rekke hendelser de siste årene viser at eksempelvis Facebook-kontoen er svært egnet for å spre virus, spam og andre ting, nettopp fordi vennene dine stoler på deg. Her i Norge er vi såpass heldige at spammerne ikke er så flinke til å oversette ting til norsk, men bare vent - flere og flere vil bli lurt av slike ting.

Derfor bør du bruke forskjellige passord til forskjellige nettsteder. Om ett av dem skulle oppleve datainnbrudd, kan du klappe seg selv på skulderen og trøste deg med at uvedkommende i hvert fall ikke får brukt opplysningene dine andre steder enn på akkurat denne ene nettsiden.

Greit, men hvordan i huleste skal jeg klare å huske ett passord pr nettsted?

Det er det som er så smart. Du trenger ikke å huske passordene. Alt du trenger er et system.

Vis mer


Det finnes flere såkalte password managers på nettet. En av de mest populære er Lastpass, som er gratis, der du eventuelt kan betale $1 i måneden for å få ekstrafunksjoner i form av mobilversjoner og ekstra sikring via USB-porten om du vil det.

Med Lastpass trenger du bare å huske ETT passord. Resten ligger lagret hos Lastpass (sterkt kryptert, må vite), og dekrypteringen skjer lokalt på din PC når du oppgir master-passordet. Mer om sikkerheten kan du lese om hos Lastpass.

Det ene passordet kan du med fordel lage langt og avansert. Når du så har opprettet kontoen kan du begynne å legge til nettsteder. Det enkleste er å installere en utvidelse til nettleseren din, som automatisk oppdager når du logger deg på en tjeneste og tilbyr deg å legge passordet til Lastpass-kontoen din. Når du oppretter nye konti får du også spørsmål om du vil at LastPass skal generere et passord til deg, og du kan selv velge hvor langt og avansert det skal være. Når du har lagt til alle nettkontoene dine er det på tide å bytte passord rundtom. Når du gjør det, oppdager Lastpass at du bytter passord og tilbyr seg å oppdatere databasen med det nye passordet.

Det blir med andre ord en liten jobb til å begynne med, men når alle konti er lagt til er det lett som en plett å bruke det.

En annen fordel er at Lastpass beskytter deg mot phishing, siden brukernavnet og passordet ditt ikke vil bli fylt ut dersom URL-en ikke stemmer overens med innholdet.

Vil du lese mer om hvordan tjenesten fungerer, hopper du til artikkelen om LastPass.

En annen mulighet er å bruke Passwordcard. Dette er et lite kort du kan skrive ut og putte i lommeboka der du i tillegg lager deg et system for hvordan du leser av kortet. Klikk på den forrige lenka for å lese mer om hvordan tjenesten fungerer.

Kanskje kan du finne på ditt helt eget system også.

Men gidder du?