<B>ER DET ENKLESTE DET BESTE?</B> Mange vil kanskje tenke at passordet som <I>ser</I> verst ut også er det beste. Er det slik? Foto: Øivind Idsø
ER DET ENKLESTE DET BESTE? Mange vil kanskje tenke at passordet som ser verst ut også er det beste. Er det slik? Foto: Øivind IdsøVis mer

Enkle passord kan være best

Det skal ikke være enkelt. Eller skal det det? Når det kommer til passord kan det ha sine fordeler.

Du har ikke levd før du på grunn av ferien har glemt passordet fem somre på rad, og du har ihvertfall ikke levd før du har blitt skjelt ut av en systemadministrator fordi du glemte å ta med et "&" og minst tre "¢"-tegn i det seksten tegn lange passordet.

Men er det nødvendig? Behøver virkelig passordet være så langt og så komplisert at den eneste som kan huske er det en gul post-it-lapp på veggtavla?

Inspirasjon fra en tegneserie

Diskusjonen har blusset opp igjen etter at amerikanske Randall Munroe, mannen bak den svært nerdete og tidvis også svært morsomme tegneserien xkcd, postet en stripe som diskuterer nettopp det: Bør folk plage seg selv med passord som inneholder alt fra tall til store bokstaver og spesialtegn?

Munros svar er et entydig "nei".

Argumentet er enkelt, for med de to eksemplene tegneserieskaperen bruker i stripa vil det elleve tegn lange passordet bestående av både bokstaver, tall og spesialtegn ("Tr0ub4dor%3") dankes ut av det sammensatte passordet bestående av fire frittstående ord uten tall og spesialtegn ("correcthorsebatterystaple").

Tre dager vs. 550 år

En viktig forutsetning for at de fire vanlige ordene regnes som sikrere enn passordet med spesialtegn er antall tegn i passordet. Jo flere tegn i et passord, jo sikrere vil det antas å være (i henhold til såkalt "passord-entropi", hvis vi skal bli veldig tekniske), fordi kompleksiteten i passordet øker med så og så mye for hvert ekstra tegn en legger til.

BEEN THERE - DONE THAT: Noen har altfor enkle passord, noen har så kompliserte passord at de overhodet ikke er i stand til å huske dem etter tre uker uten PC. Foto: Colourbox Vis mer


Teoretisk sett vil det ta rundt tre dager å knekke det første passordet ("Tr0ub4dor%3") med tusen forsøk, eller gjetninger per sekund, mens det siste vil ta hele 550 år med tilsvarende antall forsøk. Dette forutsetter at systemet som hackere ønsker å knekke tillater så mange gjetninger - det er ikke nemlig ikke gitt. Flere institusjoner setter en begrensning på hvor mange innloggingsforsøk det er lov å gjøre før brukeren låses helt ute.

Dette har blant annet hyggelige bi-effekter som at passordene blir enklere å huske (lag din egen historie rundt ordene i passordene slik Randall Munroe viser i tegneseriestripa), og at IT-avdelinger verden over kan få blidere ansatte som slipper å lage passord bestående av tegn som aldri tidligere har vært brukt i verken en setning eller i et regnestykke.

Krever spesialtegn

Der ligger forøvrig en annen utfordring for "vanlige" passord. Mange nettsteder, som for eksempel banker og arbeidsgivere, krever at passordene skal inneholde minst én stor bokstav, ett tall, og gjerne også et spesialtegn på toppen av det hele. I en slik setting blir naturligvis enkle, lange passord litt mer komplisert å ta i bruk.

Vårt eksempel med "Liverpool-vinner-Premier-League" scorer svært høyt på passordevalueringer på nett, og, for den saks skyld, i et passord-genereringsprogram som 1Password. Men: Da er utgangspunktet at de som eventuelt forsøker å knekke passordet ditt ikke vet noe om deg som person. Er den som vil knekke Gmail-passordet ditt en bekjent som allerede har hørt deg si "joda, Liverpool kommer til å vinne Premier League" 29 ganger denne sommeren, stuper kvaliteten på passordet betraktelig.

Er du derimot en Manchester United-fan som bruker samme passordet synker sjansen for at noen av dine bekjente gjetter passordet til bortimot null ...