passord (IT)

Passord er en personlig kode som vanligvis angis sammen med et brukernavn for å få tilgang til systemer og tjenester som krever autentisering.

Ettersom passordet er det eneste som avgjør om brukeren virkelig er den han eller hun utgir seg for å være, er det svært viktig at passordet holdes skjult for andre og har god styrke (vanskelig å gjette). Får noen kjennskap til en brukers passord kan de enkelt opptre som brukeren. Brukerens valg og vaner med passord omtales som brukerens passordhygiene.

På tross av at passord skal holdes hemmelig, skjer det ofte at noen misbruker passord for å få uautorisert tilgang. Dette er blant de vanligste dataangrepene. Kjennskap til passord kan oppnås gjennom at:

  • Passordet er bygget opp rundt kjent personlig informasjon, og kan gjettes. Typisk navn på barn, fødselsår og favorittlag i fotball
  • Passordet er et hyppig benyttet passord som finnes i tilgjengelige lister over vanlige passord. Typiske eksempler er 12345, abc123, qwerty, slippmeginn og sommer2020
  • Brukeren fralures passordet gjennom nettfiske, der brukeren for eksempel blir bedt om å logge inn i en falsk nettside som er en kopi av nettsiden til en kjent tjeneste
  • Brukeren lures til å gi fra seg passordet gjennom sosial manipulering
  • Tjenesten utsettes for hackerangrep og brukeres passord avsløres
  • Passordet er bevisst delt med andre av brukeren, som da enten selv misbruker eller videreformidler dette.

Mange brukere benytter samme passord i flere tjenester. Det er da tilstrekkelig at passordet til én tjeneste blir kjent før også flere andre tjenester er utsatt. Ofte er brukere mindre forsiktig med passord til tjenester som ansees som lite sensitive og viktige, uten å tenke over at samme passord også benyttes i for eksempel sosiale medier eller arbeidskontoer.

Passordanbefalinger

Tidligere ble det anbefalt å ha passord av en viss lengde, ofte 8 tegn, bestående av tilfeldige bokstaver, tall og spesialtegn. Disse skulle byttes ofte og ikke skrives ned. I takt med utbredelsen av tjenester som krever passord, gjør imidlertid dette systemet det nærmest umulig å håndtere unike passord.

Den senere tid er rådene endret i retning av å heller benytte lengre setninger av tilfeldige ord som lettere lar seg huske. For eksempel hunderogparaplyerkanikkespises. Et passord med for eksempel 20 tegn, men bare bokstavene a-z (26 mulige tegn), vil være sikrere enn et passord bestående av små og store bokstaver, tall og spesialtegn (94 mulige tegn), men kun 8 tegn langt. En noe forenklet utregning viser at 26^20 tilsvarer ca 10^29 kombinasjoner, mens 94^8 tilsvarer ca 10^18 kombinasjoner. Lengde er altså en viktig faktor for passordstyrke.

Ettersom unike passord bør etterstrebes i alle tjenester, kan man tillate seg å skrive ned eller oppbevare passordene så lenge det er på en svært trygg og sikker måte. Dette kan for eksempel gjøres i et passordhåndterer-program. Alternativt kan man ha et lite utvalg passordfraser der tegn fra tjenestenavnet inkluderes på strategiske posisjoner for å oppnå unikhet.

Ytterligere sikring

Ettersom passord kun er en sikker løsning så lenge hemmelighold er oppnådd, ønsker man i dag å sikre tjenester og systemer bedre. Dette løses stort sett ved hjelp av tofaktorautentisering, der man benytter engangskoder eller biometri i tillegg til passordet.

En annen trend er elektroniske identiteter (single sign-on, SSO), der samme brukerkonto kan benyttes i en rekke samarbeidende tjenester. Selv om denne teknologien fortsatt benytter passord, reduseres behovet for et stort antall ulike passord.

Alternativer til passord

Det er blitt lansert en rekke alternativer til passord som autentiseringsmekanisme. Foreløpig har imidlertid ingen av disse blitt ansett å være et generelt praktisk alternativ. I mer spesialiserte områder er imidlertid alternativer i bruk. For eksempel biometri, slik som fingeravtrykk og ansiktsgjenkjenning på mobile enheter.

Les mer i Store norske leksikon

Kommentarer

Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.

Du må være logget inn for å kommentere.

eller registrer deg

Fagansvarlig for Data- og informasjonssikkerhet

Tom Heine Nätt
Førstelektor, Høgskolen i Østfold