At vælge stærke kodeord og bruge dem rigtigt er helt centralt for din digitale sikkerhed. Her er en guide til, hvordan du gør.
At vælge stærke kodeord og bruge dem rigtigt er helt centralt i digitalt selvforsvar. Du skal bruge en stærk adgangskode til din computer, men du kommer også til at bruge stærke koder mange andre steder, på din e-mail-konto, dine sociale medier og så videre.
Desværre bruger mange i dag kodeord, som er meget nemme at gennemskue, fordi de skal være til at huske for den menneskelige hjerne.
Computere er i dag så hurtige, at de kan bryde selv helt tilfældige kodeord, hvis de er kortere end 14 karakterer. Kodebrydningsprogrammer kan tjekke millioner af kodeordskombinationer i sekundet og arbejde i mange dage på mange simultane maskiner. De kan søge både på den computer, der er under angreb, og på offentligt tilgængelig information om ejeren, så hvis du på et tidspunkt har gemt kodeordet på din computer eller hvis du har brugt personlig information som eksempelvis din fødselsdato, er det nemt at knække.
En stærk kodesætning er en, som denne proces ikke kan knække. Vi kalder det en kodesætning i stedet for et kodeord, fordi en sætning er sværere at knække.
Her er tre hovedregler til stærke kodesætninger:
- Lang: Din kodesætning skal være over 14 karakterer lang. Jo længere en kode er, jo sværere er den at knække. Derfor er det vigtigere, at koden er lang, end at den for eksempel er kompliceret med forskellige tegn og tal.
- Uforudsigelig: Den skal kun være kendt af dig, og være nem for dig selv at huske og taste korrekt. Men også så uforudsigelig at den er umulig for andre at gætte – selv for folk, der kender dig godt.
- Unik: Du bør undgå at genbruge kodesætninger flere steder for at minimere skaden, hvis en af dem bliver knækket.
Senere i denne blog kan du læse om, hvordan du bruger en password manager til at opbevare de fleste af dine koder. Men der er enkelte koder, som du er nødt til at kunne huske i hovedet. Det gælder koden til at åbne din computer, din password manager, dit backup drev og måske også særligt vigtige krypterede USB’er eller filer.
Det kan også være en god idé at kunne huske koden på den mailadresse, der bliver skrevet til, hvis du beder om nulstilling af dine koder på eksempelvis webtjenester, så du har en måde at genskabe koderne på.
Disse vigtige kodesætninger bør kun være gemt i din menneskelige hukommelse og skal derfor kunne huskes. Samtidig må de ikke være mulige at knække med et kodebrydningsprogram.
Du kan bruge en af de metoder, der er beskrevet i boksene, til at lave kodesætninger, som både er umulige at bryde og samtidig til at huske.
For maksimal sikkerhed bør du sørge for at være alene i et rum med gardinerne trukket for, når du laver din sætning, og at skrive dine noter ned på et hårdt underlag, så tallene ikke kan ses på papiret nedenunder. Lær sætningen udenad og destruer papirlappen eller gem den på et meget sikkert sted, hvor du ikke også opbevarer dit udstyr.
Schneiers system
En af de mest brugte metoder til at komponere ubrydelige kodesætniger er Schneiers system, som er opfundet af den amerikanske kryptograf Bruce Schneier.
Metoden går ud på at tage en sætning, man kan huske, og erstatte ordene med initialer, symboler og tal for at gøre det til en kodesætning. Sætningen bør indeholde både bogstaver, symboler og tal og være på mindst 14 tegn.
Du bør vælge en sætning, som er noget personligt, du kan huske, men som ikke er åbenlyst relateret til dig gennem offentligt tilgængelig data. Det kan for eksempel være en oplevelse eller en sang, som betyder noget særligt for dig.
For eksempel kan sætningen “Oppe i Norge, der boede tre trolde, Trolde-far og Trolde-mor og lille Olle-Bolle” blivet til “OiN,db3t,T-f&T-m&lO-B”.
Du skal selvfølgelig undgå at vælge en sætning, der har været brugt før og sørge for at kunne huske, hvornår du har brugt store og små bogstaver og så videre.
Diceware-metoden
Diceware-metoden er udviklet af den amerikanske it-ekspert Arnold Reinhold. Koden er baseret på en lang ordliste med ord, som hver står ud for femcifrede numre sammensat af tallene 1 til 6. Ved at slå med en terning og følge listen kan du sammensætte en sætning af tilfældigt udvalgte ord, som er umulig at bryde, men nem for dig at huske.
Sådan gør du:
1. Find en Diceware ordliste. Cybernauternes Aslak Ransby har lavet en dansk Diceware-liste, som du kan finde på https://github.com/aslak/dansk-diceware, og den originale engelske findes på http://world.std.com/~reinhold/diceware.wordlist.asc.
2. Vælg hvor mange ord, du vil have i din kodesætning. Den bør være på mindst seks ord, hvis den skal beskytte krypteringssystemer.
3. Kast terningen og skriv resultatet ned på et stykke papir ved siden af din computer. Skriv numrene i grupper på fem cifre og lav så mange grupper, som du vil have ord. Du kan kaste fem terninger på en gang eller den samme terning fem gange. Hvis du kaster fem terninger på en gang, skal du læse dem fra venstre til højre, så du ikke uforvarende kommer til at sætte dem i et logisk, numerisk system.
4. Slå hvert femcifret nummer op i Diceware-listen og find ordet ved siden af. For eksempel vil resultatet 11234 betyde, at du skal bruge ordet “acorn”. Sammensæt din sætning af de ord, der står ud for dine resultater i den rækkefølge, du har fået dem.
5. Når du er færdig, udgør de ord, du har fundet, din nye kodesætning.
Sikkerhedsspørgsmål
Nogle webtjenester bruger sikkerhedsspørgsmål som “hvad er din mors pigenavn” eller “hvad hed dit første kæledyr” til at bekræfte identiteten, hvis en bruger mister sit kodeord. Her bør du tænke over ikke at bruge offentligt tilgængelige oplysninger, som en modpart nemt kan finde og dermed gå helt udenom dit kodeord.
Overvej at gå de tjenester igennem, hvor du allerede har brugt sådanne sikkerhedsspørgsmål, og tjek dine svar.
Password manager
I dag bruger vi kodeord til mange, mange ting, som mailkonti, netbank, sociale medier, streamningtjenester og netbutikker, og vi bliver konstant bedt om at finde på nye, når vi bruger internettet.
Fordi det er svært at huske mange kodeord, genbruger folk ofte et lille antal mange gange. Det er en rigtig dårlig idé, fordi det giver adgang til mange konti, hvis blot et enkelt kodeord bliver brudt. Genbrug af kodeord er en af de hyppigste grunde til at folk bliver hackede.
Derfor bør du bruge en password manager. Det er et program, som hjælper med at skabe og gemme et stort antal af stærke kodeord sikkert. Programmet hjælper også med at finde på stærke kodeord, som er så komplekse og tilfældige, at de er umulige at gætte.
Det fungerer samtidig som et slags krypteret pengeskab for alle dine kodeord, som det beskytter med et enkelt masterkodeord. Når du skal bruge et af kodeordene, kan du åbne pengeskabet og finde dem, men du behøver kun at huske det ene masterkodeord til password manageren. Det vil sige, at du i princippet kan nøjes med at huske to gode, stærke kodeord til din computer: Det, der lukker computeren op, og det, der lukker password manageren op.
Password manageren KeePassX er gratis og open source, og så adskiller den sig fra de fleste andre password managere ved at være opbevaret på din computer i stedet for i skyen. Det giver dig en smule mere kontrol over dataen. Omvendt kan det også gøre brugen mere besværlig, fordi den ikke kan synkronisere dine koder mellem for eksempel din telefon og computer, og brugerfladen på KeePassX fremstår ret forældet.
Hvis du gerne vil bruge en skybaseret, mere brugervenlig password manager, kan du i stedet bruge LastPass eller 1password. Ingen af dem er open source, men de er begge alligevel anbefalet af mange sikkerhedseksperter. LastPass er gratis, mens 1password koster et lille månedligt abonnement.
Tjek, om du er blevet hacket?
På hjemmesiden https://haveibeenpwned.com/ kan du tjekke, om en af de tjeneste, hvor du har en konto, har været udsat for et læk af deres kodeoplysninger. Siden bliver løbende opdateret når det kommer frem at der er sket et læk. Hvis en af dine tjenester er blevet lækket, skal du omgående skifte dine koder på denne tjeneste og andre tjenester, hvor du har brugt lignende koder.
Under fanen “Passwords” kan du også slå dine egne kodeord op, og se om de er blevet brugt før. For eksempel kan man se, at koden “123password” i oktober 2017 var blevet brugt 8.256 gange før i sammenhænge, der har været udsat for læk af kodeoplysninger.