22. nov
DATASIKKERHET. Roar Thon, fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet, mener at det er greit å skrive ned passordene. Han anbefaler alle å lage unike passord for ulike tjenester.
 
Dette er ekspertens råd for å huske passord
EIDSVOLL. Sliter du med å huske passord til digitale tjenester? Rådet fra fagdirektør Roar Thon i Nasjonal sikkerhetsmyndighet er enkelt.

Publisert: 05.mai.2017 18:00
Oppdatert: 08.mai.2017 14:09

– De fleste av oss har behov for 25–30 passord. Passord som skal være unike, lange og kompliserte. Det finnes mange gode råd for hvordan man bør lage disse og hvordan man skal klare å huske dem, men i stor grad tåler ikke rådene et møte med virkeligheten. Derfor gjør altfor mange det litt for enkelt for seg selv. De har ett til to passord, som de bruker overalt, fastslår fagdirektør Roar Thon.

Da kan det lett gå galt.

Passord på avveie

Før påske skrev jeg om hvordan et søk på nettstedet Have I Been Pwned? (haveibeenpwned.com) avslørte at flere av mine passord og brukernavn hadde kommet på avveie etter at store internasjonale nettsteder hadde blitt hacket. Det viste seg også at jeg ikke var alene om å få en brutal aha-opplevelse. Flere kollegaer fant ut at deres innloggingsinformasjon var stjålet fra nettsteder som LinkedIn, MySpace, Dropbox og Tumbler.

Dagen etter at saken sto på trykk får jeg en e-post fra Roar Thon, som er bosatt på Bøn i Eidsvoll. Han hadde lest artikkelen, og hadde flere gode råd å komme med. Råd som var enkle og praktiske – og verdt å lytte til. Datasikkerhet er ikke en abstrakt og teoretisk problemstilling for Thon. Som fagdirektør for sikkerhetskultur i Nasjonal sikkerhetsmyndighet (NSM) er han en av Norges ledende eksperter på temaet.

Jeg sender ham et svar på e-posten:

«Kort spørsmål: kunne du tenke deg å stille opp i et intervju hvor du gir våre lesere noen passordråd?»

Vi avtaler et intervju noen dager senere, og vi velger å være analoge og møtes på en kafé.

Penn og papir

Det er en del grunnleggende ting vi må passe på digitalt, mener Thon. Han nevner: sørge for at alle pc-er, te lefoner og nettbrett er oppdaterte med siste versjoner av all programvare, installere antivirusprogrammer, sørge for backup av bilder og andre viktige dokumenter, og velge et godt passord på det trådløse nettverket, slik at ikke ukjente uten videre kan logge seg på. Men det viktigste vi alle kan gjøre er sannsynligvis å gjøre noe med passordene våre. – Vår klare anbefaling er at alle bruker unike passord på de forskjellige tjenestene og nettsidene. Hvis ikke vil man kunne oppleve at hvis passordet først blir stjålet, så vil uvelkomne ha adgang til alle steder hvor dette passordet er brukt. Passordene bør også være lange og sterke. Vi sier også at det er helt i orden å skrive ned passordene. Det er viktigere at man har gode og unike passord på alle tjenester enn at man er i stand til å huske dem alle. For de aller fleste er risikoen større for at noen skal få tilgang til passordene etter datainnbrudd, enn at noen bryter seg inn i boligen og finner arket hvor passordene er skrevet ned, fastslår Thon.

– Vi anbefaler imidlertid ikke at man går rundt med en skriftlig liste i lommen. Den bør behandles som et er verdipapir og beskyttes deretter. Lista bør heller ikke ligge synlig i nærheten av datamaskinen.

Der det er mulig, er anbefaling fra sikkerhetseksperten å brukte to-trins autentisering. Litt forenklet er det et ekstra sikkerhetsnivå ved pålogging. Etter at man har logget seg på med brukernavn og passord som vanlig, må man oppgi en engangskode som sendes via SMS eller en app. Slik blant annet Altinn fungerer, eller de aller fleste nettbanker. Stadig flere tjenester har dette sikkerhetsnivået som et tilvalg, og Thon anbefaler at man tar det i bruk.

For mer erfarne brukere sier Thon at en «password manager» kan være en god løsning. Det vil si en app som lar deg lagre passord, pinkoder og annen sensitiv informasjon i en kryptert fil. Denne får man tilgang til via et hovedpassord. Men heller ikke dette er hundre prosent sikkert. Thon kan fortelle at det nylig har vært tilfeller hvor hackere har klart å bryte seg inn.

MISTER FØLELSER på nett

– Et utfordring er at vi er tillitsfulle her i landet, vi stoler på hverandre. I seg selv ikke en dårlig egenskap, men det er folk der ute med onde hensikter, og da er det lett å bli lurt, sier Thon.

I løpet av ett år holder han cirka 100 foredrag om datasikkerhet. En gjenganger i mange av foredragene er hvordan vi «mister» enkelte sanser når vi er på nettet.

– På nettet bruker vi realiteten bare to av sansene våre, syn og hørsel. Når vi kommuniserer med andre mennesker digitalt, blir vi litt hemmet. Vi får ikke den samme feedbacken som vi får når vi for eksempel snakker med noen på et kjøpesenter. Da blir det mer til at vi satser på magefølelsen, noe som gjør det enklere å bli lurt. Evnen til være farer reduseres.

Thons råd er derfor å være mer kritisk. Tenke igjennom hvorfor man får akkurat denne e-posten. Pleier banken å sende e-post? Er det naturlig at Posten sender hentelapp for en pakke via e-post?

Han innrømmer at det ikke alltid er enkelt. Dårlig språk, som tidligere var en gjenganger i «skurkaktige» e-poster, er ikke lenger like lett å gjennomskue.

– Svindlerne er kreative, og de har tilgang til folk med norskkunnskaper, selv om de kanskje ikke er norske selv, sier Thon.

Han forteller om tester som er gjort i engelskspråklige selskaper, hvor de ansatte ikke klarte å skille mellom e-poster fra kollegaer og svindlere. E-posten med dårlig språk, som flertallet trodde var et svindelforsøk, viste seg å være skrevet av en kollega. Et råd som stadig gjentas er å ikke åpne e-poster fra ukjente. Thon har ikke veldig tro på dette rådet.

– Mange av oss har jobber hvor det er naturlig å motta e-poster fra ukjente. Det er ikke praktisk mulig å sile e-postene basert på om man kjenner avsender eller ikke.

Anmeldt alt

Og hvis man blir lurt? Anmeld forholdet til politiet. Om politiet ikke nødvendigvis kan hjelpe, er det viktig å få oversikt og statistikk over hvor mange som blir rammet.

Thon terper også på viktigheten av å ha backup av alle digitale filer som man ikke kan unnvære.

– Vi er så vant til at ting skal fungere at vi ofte ikke har noen plan B.

Det siste gjelder ikke minst mange små og mellomstore bedrifter.

– Vi ser stadig eksempler på at bedrifter får problemer når virus kommer inn i datasystemene og begynner å kryptere datafiler. Har man først blitt rammet får man ikke tilbake filene med mindre man betaler. Dårlige backuprutiner gjør at man da raskt er ute å kjøre.

– Bør man betale?

– Jeg synes det er vanskelig å si at man aldri skal betale. For enkelte bedrifter kan det være kroken på døra hvis man mister alt som ligger lagret digitalt.

– Blir filene låst opp hvis man betaler?

– I det fleste tilfeller vil de bli det. De som holder på med dette gjør det for å tjene penger. Og de tjener mye penger. De har derfor alt å tjene på å låse opp igjen de kryptere filene slik at andre som kommer i samme situasjon også velger å betale.

Det beste er imidlertid å unngå å havne i denne situasjon. Med gode passord, gode backuprutiner og oppdatert programvare. Med at denne typen problemer blir borte med det første, tror ikke Thon. Til det er det for mange faktorer som spiller inn: menneskelig svikt, teknologiske svakheter og ikke minst: folk med onde hensikter.

LES OGSÅ: Dette bildet kan kanskje gi en liten pekepinn om hva framtiden vil bringe

Fakta NSM

  • Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og er det nasjonale fagmiljøet for IKT-sikkerhet.
  • Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.
  • NSM skal motvirke spionasje, sabotasje og terrorhandlinger som kan bli rettet mot skjermingsverdige objekter og informasjon.
  • Direktoratet er administrativt underlagt Forsvarsdepartementet.

Fakta Roar Thon

  • Fagdirektør for sikkerhetskultur i NSM.
  • Har bakgrunn fra politiet og forsvaret.
  • Jobber i NSM med fokus på mennesker, teknologi og sikkerhet.
  • Er etterspurt foredragsholder.
  • Har de siste 20 årene bodd i Eidsvoll. Opprinnelig fra Lier.

Hold deg oppdatert på det som skjer der du bor. Bli abonnent på EUB.

 
Telefon: 63 92 27 00 // Tips oss: Skjema »
Ansvarlig redaktør (konst.):Vegard Storbråten Øye »
EUB har ikke ansvar for innhold på eksterne nettsider som det lenkes til.
 
EUB bruker informasjonskapsler. Les mer om informasjonskapsler her, og vår personvernerklæring her. Les mer om vilkår og samtykke
 
Løsningen er designet og utviklet av Hamar Media – www.hamarmedia.no