Den ultimative guide til et sikkert kodeord

At lave stærke kodeord er en sur tjans, som mange springer over, fordi de ikke anser det som vigtigt.

Et stærkt kodeord er dog essentielt, hvis de IT-kriminelle skal holdes væk. Det tager de IT-kriminelle få sekunder at knække de lette kodeord – og millioner af år for de svære.

Du kan altså med de rette kodeord gøre en stor forskel på din virksomheds IT-sikkerhed.  Og vil du ikke gerne sikre din virksomheds vigtige filer?

For at gøre det nemt for dig gennemgår vi i dette blogindlæg de konkrete metoder, som du kan bruge.

Men først et billede af truslen:

Hvordan bliver kodeord egentlig hacket?

En hacker, der vil have adgang til bestemte systemer kan anvende en række forskellige teknikker og metoder til at prøve at få adgang til de udvalgte systemer.

Forceringsangreb (”Brute Force”) er angreb, hvor hackeren simpelthen prøver at gætte et kodeord igen og igen (gennem automatiserede scripts og software). Ofte bruger hackeren kodeord fra hackede websites som ordbøger. Mange websites har i dag taget forholdsregler mod dette, så en konto f.eks. lukkes efter et vist antal forsøg med forkerte kodeord, men det er ikke altid det er sket. Værktøjer til ”brute force”-angreb er i dag meget lette at få fat i på nettet og kan anvendes uden de helt store forudsætninger.

Ved ”phishing” prøver hackeren at lokke kodeordet ud af en bruger gennem forskellige teknikker. Det kan f.eks. være gennem mails, der beder brugeren om at indtaste sine login-oplysninger på en falsk login-side. Disse kan være meget målrettede mod specifikke virksomheder og organisationer (såkaldte ”spear phishing”-angreb). Det kan også være gennem telefonopkald, hvor en hacker udgiver sig for at være fra en supportafdeling eller fra en softwareudbyder og beder brugeren om deres login-oplysninger.

Keyloggers er programmer, der gemmer alle anslag på en computer. Det er programmer, der ligesom virus og trojanere, sniger sig ind på computeren gennem downloadede programmer eller installeres fra ondsindede websites. Har en hacker installeret en keylogger på en maskine kan han se alle de taster, der anvendes på tastaturet og på hvilke sites de anvendes. På den måde kan han se kodeord og brugernavne.

Hacking af websites, hvor hackeren får fat i en masse brugernavne og kodeord. I nogle af de største sager har hackere fået fat i millioner af kodeord – og da mange brugere anvender de samme kodeord på forskellige sites kan en hacker have let spil på andre tjenester. De hackede kodeord kan også anvendes som ”ordbøger” for ”brute force”-angreb (se ovenfor).

Wi-fi-spoofing og wi-fi-hacking er andre metoder som hackere kan benytte for at opsnappe kodeord. Det kan f.eks. ske ved at hackeren sætter sit eget Wi-fi-netværk op på et offentligt sted eller det kan ske ved at hackeren hacker ubeskyttede offentlige netværk. Ved at bruge disse metoder kan hackeren indsamle alle de informationer, der går gennem netværket – også brugernavne og kodeord.

Gennem ”Social engineering” prøver en hacker at gætte dine kodeord ud fra din profil på f.eks. Facebook, LinkedIn eller andre sociale sites. Mange har en tendens til at bruge oplysninger som fødselsdage, partnerens navn, adresse osv. som kodeord, da de er nemme at huske.

Hvordan kan du beskytte dig?

Der er altså rigtig mange metoder som en hacker kan anvende til at få uautoriseret adgang til systemer som mail, intranet osv. Derfor er der heller ikke én metode som du kan anvende for at sikre dig og dine systemer. Du skal derfor anvende en kombination af metoder for sikre dine systemer.

Et godt råd: Brug en password manager

Det første – og muligvis bedste – råd vi kan give er at benytte en password manager. En password manager er et program, der husker dine kodeord for dig – og hjælper dig med at skabe sikre kodeord. Det er oftest et lille plugin, der er integreret i din browser og som aktiveres automatisk, når du møder en login-formular på nettet.

Der findes flere forskellige password managers, der ofte er gratis at benytte i begrænsede versioner, så prisen er i hvert fald ikke en undskyldning for ikke at bruge dem. Nogle af de meste benyttede password managers er fx LastPass og 1Password.

Mens en password manager ikke kan sikre dig mod alle typer af angreb, kan de i hvert fald gøre livet sværere for en hacker – og vis du bruger den samme med vores næste råd, kan du gøre livet rigtig surt for en hacker.

Et andet godt råd: Anvend 2-faktor godkendelse

Sammen med en password manager bør du slå 2-faktor godkendelse til på de websites, hvor det er muligt.

Med 2-faktor godkendelse modtager du en besked, når du logger ind på en site. I beskeden, som oftest kommer som en SMS eller gennem en app på din smartphone, får du en tidsbegrænset kode som du skal anvende for at få adgang til tjenesten. Med 2-faktor godkendelse kan du forhindre en hacker i at få adgang til din konto og du får automatisk en varsling, hvis nogen forsøger at få adgang til din konto.

Stort set alle større internettjenester tilbyder i dag 2-faktor godkendelse som standard, og det et er også muligt at sætte 2-faktor godkendelse op på din virksomheds systemer gennem fx systemer som SMS Passcode.

Et tredje godt råd: Opmærksomhed og uddannelse

Når det gælder virksomheders IT-sikkerhed, er medarbejderne ofte det svageste led. Det er fx dem, som klikker på de links, der smitter virksomheden med ransomware.

Et godt råd er derfor at gøre hele virksomheden opmærksom på IT-truslerne. Spred budskabet til alle lag i virksomheden, så I minimerer risikoen for, at en uvidende medarbejder åbner en smittevej for de IT-kriminelle.

Et fjerde godt råd: Send krypterede e-mails

Det koster ikke alene din virksomheds omdømme dyrt, hvis personfølsomme data slipper ud på grund af usikre e-mails. Jf. den nye persondataforordning kan det også koste dig bøder på op til 4 % af din virksomheds globale omsætning.

Med SEPO kan du nemt kryptere og signere din virksomheds e-mails i overensstemmelse med dansk lovgivning og reglerne for den nye EU-persondatalov.

Simple råd til et stærkt kodeord

Du har sikkert hørt dem før, men det gør dem ikke mindre rigtige – og de kan sagtens tåle at blive gentaget. Her er nogle mere simple råd til dine kordeord:

  • Brug et langt kodeord – jo længere jo bedre (helst 12 tegn eller mere)
  • Brug ikke almindelig ord, som kan findes i en ordbog
  • Brug ikke tal og bogstaver i rækkefølge (fx 123456 eller abcde)
  • Brug ikke tal og bogstaver i den rækkefølge de står på tastaturet (fx qwerty eller asdfg)
  • Gentag ikke tal og bogstaver (111, aaa, bbb)
  • Udskift ikke tegn med åbenlyse erstatninger (fx 0 i stedet for o, 3 i stedet for E eller 1 i stedet for l)
  • Brug ikke det samme kodeord på forskellige websites
  • Brug ikke tekst og tal som kan gættes ud fra din profil på sociale medier (fx din partners navn eller din fødselsdato)
  • Hold øje med de webadresser (URL’er), hvor du indtaster dit kodeord
  • Brug en VPN-forbindelse, når du anvender offentlige wi-fi-netværk

Konklusion

Selvom det virker trivielt, så er stærke kodeord vejen til øget IT-sikkerhed (cybersikkerhed). De IT-kriminelle har nemlig mange kneb, som de bruger til at få adgang til virksomheders IT-systemer.

Hvis du følger de rådene i dette blogindlæg, vil dine kodeord være sikrere end de nogensinde har været.

Læs om sikker mail kommunikation

keyboard_arrow_up