123456. Kjenner du igjen ditt passord? I så fall har du bidratt til å gjøre det til det mest brukte passordet, sannsynligvis noensinne. Kanskje bruker du det samme passord flere steder – på e-posten, Facebook og bloggen din?
I en tid hvor identitetstyveri er nærmest blitt en dagligdags pandemi og hvor vi blir mer og mer avhengig og påvirket av Internett, har man innsett at passord ikke lenger er nok for å bevare sikkerheten. Mange store aktører har innført totrinnsautentisering, hvor man i tillegg til passordet sitt blir bedt om å skrive inn en engangskode f.eks. tilsendt på mobil. Men fortsatt er det ikke alle som tilbyr det, og et passord bør uansett være sterkt. Samtidig er det en kjensgjerning at kryptiske passord blir glemt og derfor skrevet ned, noe som igjen svekker sikkerheten. Så hvordan lager man et sterkt passord som samtidig er lett å huske?
La oss se på et par andre eksempler. I motsetning til det de fleste tror er ikke passordet 20FKpw!# sikrere enn f.eks. Juleniss1, faktisk tvert imot. Ettersom sistnevnte er et tegn lenger tar det i dette tilfellet ca. dobbelt så lang tid å knekke. Svaret på utfordringen ligger med andre ord i lengden på passordet, kombinert med sannsynligheten for å finne passordet i en ordbok eller kompilert ordliste.
Smaker ordsuppen tilfredsstillende?
Med stadig økende datakraft og muligheten til å kombinere datakraften fra flere maskiner er det i dag nødvendig å bruke temmelig lange passord. I stripen ovenfor ble det kombinert fire tilfeldige ord av middels lengde, men det anbefales i dag å benytte seks. I tillegg er det fortsatt lurt å inkludere tall og symboler, så sant man klarer å huske de. Et eksempel på et rimelig sikkert passord som samtidig er relativt lett å huske:
KongeligDesemberFroskBesøkteNarniasUtedass
Ifølge https://www.grc.com/haystack.htm vil en kraftig maskin (som takler 100 milliarder forsøk i sekundet) fortsatt bruke 3,49 billioner billioner billioner billioner billioner århundre på å knekke det, med mindre man benytter en ordliste som tilfeldigvis har akkurat det passordet selvfølgelig. Setter man sammen noen tusen slike maskiner (gjerne ufrivillige, i et såkalt «botnet») kortes tiden ned betraktelig, men fortsatt ikke nok til å gjøre det praktisk gjennomførbart. Forhåpentligvis duger det frem til folk flest får tilgang til kvantemaskiner. 🙂