CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Guide: Få styr på dine passwords

Hvis du vil værne om dit privatliv på internettet, er sikre kodeord et godt sted at starte. Vi ser på to-faktor autentifikation og password-managers, så du er bedre beskyttet mod farerne på nettet.

25. september 2017 kl. 13.51

Af Kenneth Geisshirt, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Det er ikke en overdrivelse at fastslå, at dit privatliv på internettet i dag er så godt som forsvundet. Din færden på internettet og mobilnettet følges tæt. Du følges sandsynligvis tæt af offentlige myndigheder og ikke mindst private virksomheder. Måske har du ikke meget privatliv tilbage, men du har din identitet at beskytte. Her er det ikke kun folk, som vil vise dig reklamer, som du skal bekymre dig om. It-kriminelle står nærmest i kø for at overtage din identitet.

I denne artikel vil vi se nærmere på enkle metoder til at hjælpe dig med at beskytte din identitet. Har du din identitet under kontrol, kan du delvist styre, hvad andre ved om dig – og dermed beholde den sidste rest af privatliv. Og her er passwords et vigtigt aspekt.

Noget du ved, noget du har

En adgangskode bruges til at bevise, at du er den, som du udgiver dig for. Når du logger ind, er brugernavnet din identitet. Da adgangskoden er dit bevis, er det vigtigt, at kun du kender den. Den er “noget, du ved”.

Langt de fleste mennesker er al for dårlige til at finde på gode adgangskoder. Det betyder, at de er lette at gætte. At gætte en adgangskode kan betyde to ting. For det første kan det være at prøve alle tegnkombinationer. For hvert tegn vil det tage længere tid at prøve sig frem, men eftersom computere hele tiden bliver hurtigere, er det kun en stakket frist. Eller sagt på en anden måde: i takt med at computere bliver hurtigere, skal dine adgangskoder blive længere.

En anden måde at gætte en adgangskode er at prøve ord i en ordbog. Det er uhyggeligt ofte, at brugere vælger ord som “lagkage” eller “tuborg” – for de er lette at huske. Løsningen er at bruge to-faktor autentifikation (2FA). Populært sagt, bygger det på princippet, at du skal bruge noget, som du ved og noget, som du har, for at bevise hvem du er. Adgangskoden er noget, som du ved. Men da adgangskoder kan gættes, skal du bruge en faktor mere til at bevise, hvem du er. Ved at bruge noget, som du har, sikrer du, at det kun er dig, som har beviset.

Hvad har du, som ingen andre kan have samtidig? Et fingeraftryk er oplagt. Det kræver dog en fingeraftrykslæser, hvilket i praktisk kan gøre det besværligt at bruge. En anden løsning kender du allerede fra NemID. Her har du et papkort med engangskoder. Din adgangskode er den første faktor, men den tilfældige udvalgte engangs-kode er den anden. Kun du har papkortet.

NemID er dansk og virker kun i Danmark. Ideen er supergod, men det er svært at forestille sig, at store it-virksomheder som Google eller Facebook vil vælge at benytte sig af dette i deres tjenester.

Heldigvis findes der andre muligheder. Hvis du er som folk er flest, har du din mobiltelefon på dig altid – på nær i badet (og her er den sikkert stadig inden for rækkevidde). Der findes apps/tjenester som kan generere engangskoder på samme måde som NemID – bare uden papkort. Et eksempel på sådan en app er Google Authenticator, som findes både til Android og iOS. Der findes andre apps, som implementerer standarden for at generere engangskoder.

Som en begyndelse skal du installere en Authenticator app på din telefon. Efter installation er det vigtigste at sikre sig, at klokkeslettet er korrekt. Ideen er, at engangskoden kun er gyldig i et kort tidsrum. Når gyldigheden udløber, vil en ny engangskode blive genereret.

For at bruge to-faktor autentifikation, er det nødvendigt, at tjenesten også understøtter det. Din Google-konto (som du f.eks. benytter til GMail) er en af de mange tjenester, hvor du kan benytte 2FA. Når du slår 2FA til, vil du se en QR-kode, som du skal scanne med din Authenticator app. Næste gang, du logger ind, skal du bruge både adgangskode og en engangskode. Figur 1

password Figur 1: Med en autentifikator-app får du engangskoder, som du kan bruge, når du har slået to-faktor autentifikation til.

Du skal huske, at brugernavnet til din Google-konto ikke er en hemmelighed. Du sender det med hver gang, du sender en e-mail, idet brugernavn og afsenderadressen jo er en og samme ting. Ved at bruge 2FA til din Google-konto, sikrer du din identitet i en grad, hvor den er praktisk talt umulig at få adgang til.

Facebook giver dig også mulighed for at benytte to-faktor autentifikation. Men du kan ikke bruge din Authentificator app. Facebook vil derimod sende din en engangskode på en sms.

Eftersom Google og Facebook er virksomheder, som må antages at have stor grad af sikkerhed, kan du bruge disse konti til at logge ind med andre steder. Rent teknisk sker det gennem en åben protokol ved navn OAuth2. Det sparer dig bøvlet med at huske flere brugernavne og adgangskoder. Figur 2.

password Figur 2: Både Google og Facebook tilbyder dig at bruge to-faktor autentifikation.

Hvad er en god adgangskode?

Det er ikke alle hjemmesider og apps, som understøtter to-faktor autentifikation. I de tilfælde er du nødt til at have en stærk adgangskode for det er det eneste, som beskytter din identitet.

Det er værd at stoppe op og overveje, hvad en stærk adgangskode er. Vi har allerede været inde på det, men for det første skal du aldrig bruge et ord, som let kan slås op i en ordbog. Tidligere var anbefalingen, at du tog udgangspunkt i en sætning eller en strofe, f.eks. “Ole sad på en knold og sang”. Ved at tage de første bogstaver i strofen ender du med adgangskoden “Ospekog”, og du kan udskifte ordet “en” med det tilsvarende ciffer og få “Osp1kos”.

For det andet, bør du aldrig bruge den samme adgangskode mere end én gang. Grunden er ligefrem. Er der nogen, som gætter din adgangskode et sted, vil de sandsynligvis forsøge at bruge den andre steder. Det sætter din kreativitet under pres. Benytter du bare 20 tjenester, skal du komme i tanke om 20 forskellige sange. Samtidig skal du huske hvilken måde, du forkorter dem og hvilke tjenester, der hører til hvilke sange. Måske bliver din dag sjovere, hvis du sidder og nynner hele dagen, men sandsynligvis øger det ikke din produktivitet.

Sidst men ikke mindst skal adgangskoder være lange. 7 tegn, så eksemplet fra før er på ingen måde langt nok. Computere i dag er så hurtige, at du får brug for meget længere adgangskoder. Du bør nok komme op på 15 tegn. Endvidere bør du ikke kun bruge bogstaver og cifre, men også specialtegn.

Få styr på dine adgangskoder

Hvis du skal bruge en ny adgangskode for hver tjeneste, og hver adgangskode helst skal bestå af mindst 15 tilfældige tegn, er du nødt til at få lidt hjælp. En password manager er et program, hvor du kan gemme brugernavn/adgangkode på en sikker måde. Der findes flere at vælge imellem. Der er jo ingen idé, hvis andre let kan læse alle dine adgangskoder, så en password manager vil typisk kryptere alt data, og du skal så kun huske én adgangskode.

Som sagt findes der flere password managers. Når du skal vælge en, bør du overveje, om du gerne vil have adgang til dine koder på både computere og mobile enheder. For tiden er mine platforme en Apple-laptop, en pc-laptop (som kører Linux) og en Android-telefon. Typisk bruger jeg Chrome som browser, men eksperimenter med både Safari og Firefox. Jeg har valgt at bruge LastPass, som fås stort set til alle platforme og browsere. Det er rigtigt, at LastPass har haft sikkerhedsproblemer, men de har reageret åbent og hurtigt.

Det er lettest at begynde på LastPass’ hjemmeside. Her kan du oprette dig som bruger. Du skal vælge en god adgangskode. Denne kode er den eneste adgangskode, du i fremtiden behøver at huske. Med andre ord, du skal vælge den med omhu. Ud over adgangskoden, bør du slå to-faktor autentifikation til. LastPass har deres egen autentifikator, men jeg bruger Googles autentifikator, da det var den, som jeg faldt over først.

Det fine ved LastPass er, at brugernavne og adgangskoder synkroniseres mellem dine enheder. For mange brugere er den gratis udgave glimrende, men i betalingsudgaven kan du dele adgangskoder med op til 4 andre brugere. Det er praktisk for en familie, så alle kender adgangskoden til det trådløse netværk eller fælles tjenester. Figur 3 Figur 4.

password Figur 3: LastPass kan tjekke alle dine adgangskoder igennem og fortælle om nogle er for svage. Du bør altid ændre svage adgangskoder.
password Figur 4: Bruger du LastPass gennem deres hjemmeside, har du let adgang til hele databasen. Der er indbygget automatik så kendte tjenester kategoriseres, men du kan altid flytte rundt på dem.

Efter oprettelse af konto, kan du installere LastPass appen på din telefon (Android og iOS er godt understøttet). Denne app kan indsætte brugernavne og adgangskoder i de apps, du bruger på din telefon. Endvidere kan du installere en LastPass-udvidelse til de fleste browsere. Udvidelsen vil genkende hjemmesider og hjælpe dig med at udfylde login-siderne. Ved blot at søge efter LastPass i din browsers udvidelseskatalog, finder du den hurtigt. Figur 5.

password Figur 5: Når du bruger LastPass med en browser (her Chrome), er der et lille ikon oppe ved URL-feltet. Her har du en hurtig adgang til LastPass.

Når du skal oprette en konto på et nyt sted, vil LastPass hjælpe dig med at generere en adgangskode bestående af tilfældige tegn. Om du skal bruge 15 eller 20 tegn er nu pludselig ikke så vigtigt, idet du har et system til at huske det hele. Figur 6.
Eftersom mange apps også er forbundet med en hjemmeside, kan du udnytte, at LastPass synkroniserer databasen mellem dine enheder.

password Figur 6: Når du opretter en ny konto på en hjemmeside, vil LastPass næsten altid genkende felterne til brugernavn og adgangskode.

Afslutning

Der er en del alternativer til LastPass. Vil du have den absolutte kontrol selv, bør du overveje at bruge pass. Det er primært et kommandolinje-værktøj, som benytter GNU Privacy Guard til kryptering af din database. Til at synkronisere adgangskoderne mellem dine enheder, arbejder pass godt sammen med git. Der findes en glimrende udvidelse til Emacs, men dem til Chrome og Firefox er lidt besværlige at bruge. At drive egen git-server kræver en ekstra indsats.

Hvis du vil føle dig sikker mod tyveri af dine enheder, bør du kryptere filsystemerne. Nyere versioner af Android, iOS og MacOS benytter dette som default. Mange Linux-distributioner har tilbudt at kryptere hjemmekataloget i mange år.

Når du er på internettet og skal logge ind, skal du sikre dig, at hjemmesiden benytter HTTPS. Bruger den kun HTTP, kan andre i princippet lytte med og få fat i din adgangskode. Browsere i dag er heldigvis gode til at advare brugere mod den ukrypterede udgave HTTP.

Måske er privatlivets fred svært at opretholde i dag på internettet. Vi skal nok være forsigtige med, hvad vi lægger ud, og hvor vi færdes (ikke alle hjemmesider er fine i kanten). Men ved brug af to-faktor autentifikation og password managers kan vi værne om vores identitet.

Få mere at vide

NemID - https://www.nemid.nu/dk-da/

OAuth2 - https://en.wikipedia.org/wiki/

OAuth og https://oauth.net/2/

LastPass - https://www.lastpass.com/

Sikkerhedsproblemer hos LastPass - https://en.wikipedia.org/wiki/LastPass#Security_issues

Password manager til kommandolinjen - https://www.passwordstore.org/



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Laura Klitgaard
Laura Klitgaard
opinion
Jonathan Løw
Jonathan Løw
Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?
Læs indlæg
Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Artikel teaser billede

Andreas Holbak Espersen

Derfor er den nye digitale taskforce det helt rigtige initiativ

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Vi har brug for en national dansk AI-sprogmodel - og det er der flere grunde til
Klumme: Danmark bør satse på at bygge en national AI-sprogmodel for at stå stærkere sprogligt og kulturelt – og for at mindske afhængigheden af amerikanske techgiganter.
Af: Laura Klitgaard
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Erik David Johnson
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Læs indlæg

Premium
Teaser billede
“Den investering, som jeg dengang foretog i krypto, er blevet mangedoblet. I dag er de 10.000 dollar blevet til 1,4 millioner kroner”
Læs mere »
Danske CloudNordic går konkurs efter stort ransomware-angreb
Efter ballade: Comm2ig skal levere computere til danske skoler med kæmpeordre til 629 millioner kroner
Afgørelse: Rejsekorts kæmpeaftale med Netcompany og Trifork bliver tvangs-ophævet - stor regning venter
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Danfoss er i fuld gang med stor SAP-transformation: Særligt setup skal sikre, at selskabet forbliver herre i eget hus
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Sådan høster du forretningsfordelene ved Internet of Things
Læs mere »
Opdag fordelene ved cloud-baseret backup og recovery
Guide: Sådan udvikler du en moderne netværksstrategi
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »