top of page
  • Forfatterens bildeRoby Bejenaru

Jeg vedder på at jeg kan gjette passordet ditt


CYBR BLOG - I BET I CAN GUESS YOUR PASSWORD - Cybersecurity Spotlights
CYBR - Jeg vedder på at jeg kan gjette passordet ditt


Derfor er passordet ditt enklere å gjette enn du tror


Hva? Men hvordan?


Hei alle sammen. Det er Roby fra CYBR her!

Nei, overskriften var ikke clickbait. Ikke helt, i alle fall! Og jeg snakker ikke om de som har “passord” som sitt passord på jobb-e-posten (hvis du har det er et sikkert passord det minste problemet du har). Jeg snakker om de som faktisk tror at passordet deres er sikkert, bare fordi de har fulgt instruksjonene og lagt til symboler og tall i passordet sitt.



Hvordan i all verden kan du gjette passordet mitt?

Det er faktisk ganske enkelt, hvis du tenker på det. Vi mennesker er ganske forutsigbare når det kommer til avgjørelsene vi tar i hverdagen. Forskning viser at atferden vår er opptil 93% forutsigbar. Det betyr at mange avgjørelser vi tar hver dag kan bli forutsagt med ganske stor treffsikkerhet.


Fra hvilken shampo du kjøper til hvilke sokker du velger å bruke, eller når og hvor du reiser – oppførselen vår kan forutsies på en rekke områder i livene våres. Kan vi dra den enda lenger og anta at det samme gjelder de mest private tingene og handlingene våre, slik som passord? La oss se på nettopp det.



Sikkerhetsbrudd og passord

Først og fremst er det mange sikkerhetsbrudd vi kan analysere for å avdekke vanlige passordvaner (LinkedIn, Canva, RockYou, Yahoo!, Facebook er bare noen av de). Bare sjekk selv, så oppdater du raskt om passordet ditt er lekket på nett her.


Hvis du tror at et tall og spesialtegn gjør passordet ditt sikkert – blir du overrasket om vi sier at det faktisk kan vise seg å være en ulempe?


Litt om IT-sikkerhet


Organisasjoner har sikkerhetsrutiner som (burde) inkludere passordrutiner for å øke sikkerheten, ved å tvinge ansatte til å lage mer komplekse passord. Men siden dette er altomfattende tiltak som utføres av forutsigbare mennesker, risikerer man at alle reagerer likt på slike passordrutiner.



Typiske passord krav inkluderer flere punkter:


1. “Du må legge til et tall i passordet ditt”

Sikkert lurt, men når nesten alle ender opp med å legge til et 1-tall på slutten av passordet, eller et årstall (for eksempel 1892 – og vi ser på dere, Liverpool-fans!) blir dette forutsigbart. Visste du at 20 - 30% legger til et 1-tall på slutten av passordet sitt?



2. “Du må legge til et spesialtegn i passordet ditt”

Javisst, la oss legge til et symbol. Folk går vanligvis for en av følgende:

  • Enten bytter de ut en bokstav i passordet (f.eks. a til @ eller s til $).

  • Eller så legger de til et symbol på slutten.


3. “Du må ha et passord som er minst åtte tegn langt”


Ok. La oss gjøre det 8 tegn langt – men bare 8. Det som vanligvis skjer når folk ser et bestemt antall tegn, i vårt eksempel 8, er at de ikke går over denne grensen. Mellom 30 - 45% av brukere velger et passord i henhold til minimumskravet.


Øvelser for god passordsikkerhet

Jeg heter Mark Andersson og våre passordregler ser slik ut: passordet må være minst 8 tegn langt, ha minst en stor bokstav, en liten bokstav, et tall og et spesialtegn. Da ser passordet mitt omtrent slik ut: M@rk@ndersson1. Så du hva vi gjorde der? Enkelt å huske, men komplisert nok til at andre ikke klarer å gjette det.

Eller?

Husker du starten på denne saken, der jeg hevdet at jeg kunne gjette passordet ditt? Selv om jeg entlig ikke kan gjette nøyaktig ditt passord, kan jeg komme veldig nært. Ved bruk av noen gratisverktøy på nettet kan jeg til og med gjette ditt eksakte passord.

Alt jeg trenger å vite er e-postadressen din og litt informasjon om deg, slik som fødselsåret ditt, navn på dine kjære og så videre. Jeg kan dessuten søke opp e-posten din for å se om den har blitt knekt tidligere. Har den det eksisterer det krypterte passordet ditt på nettet, der hackere kan kjøpe og selge det. Med det kan jeg lage et ordbok-angrep ved hjelp av John the Ripper eller HashCat, basert på informasjonen jeg allerede har. og får jeg ikke tak i det nøyaktige passordet ditt slik, kommer jeg i alle fall veldig nærme det korrekte svaret.



Oppdater passordet ditt hvis du svarer ja på noen av disse:


La oss prøve en annen øvelse. Jeg stiller deg noen spørsmål. hvis du svarer “ja” på noen av disse er det på tide å bytte passordet ditt:

  1. Er passordet ditt et ord (hvilket språk du bruker har ikke noe å si)

  2. Har du byttet ut en karakter med et spesialtegn (a-@, e-&, s-$, i-1 osv.)

  3. Har du tallet 1 i slutten av passordet ditt?

  4. Har du et nummer på fire tall i slutten av passordet ditt?

  5. Er passordet ditt under 14 tegn langt? (14 anses som den nye standarden)


Siden det er oktober (og sikkerhetsmåned) bør du dele denne med dine kollegaer, så ser du hva slags sikkerhetsperson de er. Tror du passordene deres er trygge? Eller er passordet ganske enkelt….passord?

Snakkes neste gang.



 

 


Comments


bottom of page