'12345' Er virkelig dårlig: din ultimative guide til adgangskodesikkerhed

Vi har rådet dig igen og igen om, at den eneste sikre måde at gemme og bruge adgangskoder er at stole på en passwordadministrator, men nogle af jer lytter ikke. I en PCMag-undersøgelse om adgangskoder rapporterede kun 24 procent af dig ved hjælp af en adgangskodemanager. Hvad laver du resten? Brug af lette adgangskoder som kodeord eller 12345678? Kan du huske et komplekst kodeord og bruge det overalt? Hør, det er ikke mindre vigtigt at tage sig af password-sikkerhed, men i betragtning af den enorme omfang af risikoen - som illustreret i det nylige brud på samling nr. 1, der udsatte 773 millioner hakkede e-mail-adresser - skal du gøre alt, hvad du kan for at beholde dine adgangskoder sikker.

Selv hvis du bruger den bedste adgangskodeadministrator, garanterer det ikke sikkerheden for dine konti - ikke hvis du bruger adgangskodeadministratoren til at huske de samme gamle, trætte adgangskoder. Du er nødt til at komme ned i skyttegravene og skifte de dårlige adgangskoder til nye, stærkere.

Denne undersøgelse, der er nævnt ovenfor, afslørede, at 35 procent af PCMag-læserne aldrig ændrer deres adgangskoder, medmindre de bliver tvunget til at gøre det ved et brud. Generelt er det ikke sådan en dårlig ting. National Institute of Standards and Technology anbefaler ikke længere at ændre adgangskoder hver 90 dag. NIST anbefaler nu at bruge lange adgangssætninger som "Korrekt hestebatteri-hæfteklammer" og kun ændre dem, når det er nødvendigt. Men hvis du bruger forfærdelige adgangskoder, betyder "når det er nødvendigt" lige nu .

Hvad laver bare en dårlig adgangskode? Vi ser på nogle af attributterne til forfærdelige adgangskoder, og så giver vi dig nogle tip til, hvordan du gør adgangskoder på den rigtige måde.

Hold dig ude af ordbogen

Hver par måneder poster en eller flere nyheder en liste over de værste adgangskoder. Vi ser en masse muligheder, der er let at skrive, som 123456 og 12345678 og qwerty. Let for dig? Jo da. Men også let for hackere at knække. Andre almindelige (og dårlige) adgangskoder består af enkle ordbogsord. Vi har set baseball, abe og starwars på listen over værste adgangskoder. Disse er også lette at knække.

Nogle sikre websteder låses fast efter et bestemt antal forkerte adgangskodeforsøg, men mange gør det ikke. For dem med ingen dårlig gætte-lockout, kan hackere krydse en liste med e-mail-adresser med en liste over populære adgangskoder og oprette en automatiseret proces for at fortsætte med at prøve kombinationer, indtil de kommer ind.

Et korrekt sikret websted gemmer ikke din adgangskode overalt. I stedet kører den adgangskoden gennem en hashingsalgoritme, en slags envejskryptering. Den samme input producerer altid den samme output, men der er ingen måde at vende tilbage til den originale adgangskode fra den resulterende hash. Hvis det kodeord, du skriver, hashes til den samme værdi, der er gemt, får du adgang. Selv hvis hackere fanger webstedets brugerdata, får de ikke adgangskoder, bare hasjer.

Men smarte hackere kan knække svage adgangskoder, selv når de er hashede, hvis de ved, hvilken hashfunktion det anvendte websted har. De starter med at køre en enorm ordbog med almindelige adgangskoder gennem hash-funktionen. Derefter ser de efter de resulterende hashes i de indfangede data. Hver kamp er et krakket kodeord. Websteder med den allerbedste sikkerhed forbedrer hashfunktionen med en teknik kaldet saltning, hvilket gør denne form for tabelbaseret krakning umulig, men hvorfor tage risikoen? Bliv bare ude af ordbogen.

Tænk anderledes

En ven fortalte mig engang hendes perfekte adgangskode: 1qaz2wsx3edc4rfv. Hun kunne "skrive" det ved blot at skubbe en finger ned ad fire skrå kolonner på tastaturet. Det var så perfekt, hun brugte det overalt. Og det var en stor fejltagelse.

Der går næppe en uge uden nyheder om et brud på et eller andet firma eller websted, der udsætter tusinder eller millioner af brugernavne og adgangskoder. Smarte ofre skifter straks deres adgangskoder. De, der ignorerer problemet, kan muligvis finde sig låst ud af deres egne konti, når hackerne nulstiller adgangskoden.

Disse hackere ved, at alt for mange mennesker genanvender deres adgangskoder. Når de først har fundet et fungerende brugernavn og adgangskodepar, prøver de de samme legitimationsoplysninger på andre websteder. Du er måske ikke så bekymret for at miste adgang til din Club Penguin-konto, men hvis du brugte det samme login på din banks websted, har du store problemer.

Det bliver værre. Hvis en anden får kontrol over din e-mail-konto, kan de først låse dig ud ved at ændre adgangskoden. Derefter kan de bryde ind på dine andre konti ved at få et link til nulstilling af adgangskode sendt til den konto. Bekymret endnu?

Bliv ikke personlig

Det er frygtelig fristende at bruge personlige oplysninger som grundlag for dine adgangskoder, men det er en dårlig idé. Chancerne er gode, at din hunds navn vises i de ordbøger, som hackere bruger til angreb fra brute-force. Andre muligheder såsom initialer og fødselsdato for et familiemedlem falder sandsynligvis ikke til et brute-force-angreb, men hvis nogen ønsker at hacke din konto specifikt, kan disse personlige data give anledning til et gæt-angreb på prøve og fejl.

Tænk ikke et øjeblik på, at dine personlige detaljer er private. Der er snesevis af sider, som folk kan bruge til at finde detaljer om nogen: adresse, fødselsdato, ægteskabelig status og mere. Dine sociale medieindlæg kan være en anden kilde til personlig information, især hvis du ikke har sikret dine konti korrekt. En bestemt hacker (eller en nysgerrig nabo) kan sandsynligvis gætte enhver adgangskode, du bygger, baseret på dine egne data.

Luk bagdøren

Hvis du ikke bruger en adgangskodemanager, har du helt sikkert oplevet at glemme adgangskoden til et websted. Det er alt for almindeligt, hvorfor næsten hver login-side indeholder en "Glemt din adgangskode?" link. Nogle steder sender et nulstillingslink til din e-mail-adresse, mens andre giver dig mulighed for at nulstille adgangskoden efter at have besvaret dine sikkerhedsspørgsmål. Og det åbner en bagdør for enhver, der ønsker at hacke din konto.

De fleste steder tilbyder afgrænsede muligheder for sikkerhedsspørgsmål. Hvad er din mors pigenavn? Hvor gik du på højskole? Hvad var dit første job? Som nævnt er dit personlige liv en åben bog for enhver med internet-søgeevner. Når det er muligt, skal du ignorere de forudindstillede spørgsmål. Opret dit eget spørgsmål med et unikt svar, som du altid vil huske, men som ingen andre kunne gætte på.

Det er sværere, når webstedet ikke lader dig definere dine egne spørgsmål. I dette tilfælde er din bedste indsats at bruge et mindeværdigt svar, der er en total løgn. Min mors pigenavn er Obama. Jeg gik i skole på Communist Martyrs High. Til mit første job var jeg en løvekammer. Der er et element af risiko, da du måske glemmer hvilken løgn du valgte. Jeg vil foreslå, at du lagrer disse oddball-svar som sikre noter i din password manager… men hvis du brugte en password manager, ville det have husket adgangskoden til dig.

Hvad skal du gøre nu, når du bryder dig

Jeg håber, at jeg har overbevist dig om, at brug af almindelige adgangskoder er en råden idé, som at opbygge adgangskoder fra personlige oplysninger. Og selv det bedste stærke, tilfældige kodeord bliver et ansvar, hvis du bruger det overalt. Hvis du er klar til at gribe ind, er her nogle udgangspunkt:

• Brug en adgangskodemanager.
• Skift til en bedre adgangskodemanager.
• Husk et vanvittigt sikkert hovedadgangskode til din password manager.
• Udnyt en tilfældig generatoradgangskode for at opgradere dine gamle, dårlige adgangskoder.
• Du kan endda oprette din egen tilfældige kodeordgenerator i Excel.
• Aktivér tofaktorautentifikation, hvor det er tilgængeligt.

Hvis et sikkert sted ikke tager sig af sikkerhed, kan du stadig miste webstedets legitimationsoplysninger til en dataforbrydelse, men ved at gøre alle dine adgangskoder lange, stærke og unikke, har du gjort alt, hvad du kan for at beskytte dine online konti.

Og hej! Nu, hvor du er på farten, sikkerhedsmæssigt, kan du overveje at tilføje et virtuelt privat netværk eller VPN. Brug af stærke adgangskoder til sikre websteder betyder, at andre ikke kan bryde ind på dine konti; tilføjelse af en VPN betyder, at der ikke er nogen chance for, at nogen kan opfange din forbindelse til disse sikre websteder.