Password

Data og systemer skal beskyttes mod uvedkommende adgang. Det gælder selvfølgelig navnlig når man håndterer fortrolige eller følsomme data, men også almindelig maskiner og systemer skal beskyttes, så kun de rette personer kan tilgå data.

Den almindeligste beskyttelsesmekanisme er brugernavne og passwords, og den almindeligste vej til kompromittering af databeskyttelsen er svage eller lækkede passwords. Du skal som bruger af Universitetets it-systemer overholde nogle helt simple regler om passwords.

 

Regler for passwords

Der er grundlæggende tre måder, hvorpå en forbryder kan få adgang til et password på; ved at spørge, ved at gætte eller ved at forsøge sig frem.

Det handler derfor om at lave et password, der beskytter bedst muligt mod ovenstående. Det eneste der kan stoppe en forbryder, som forsøger sig frem, er at stille krav til længden og kompleksiteten af passwordet, samt, med jævne mellemrum, at skifte sit password. Derfor har AU også nogle minimumskrav inden for disse områder.

  • Password skal være stærke. Du skal sørge for at dit password ikke kan gættes nemt. Nogle systemer sørger automatisk for at visse minimumskrav overholdes; på andre skal du selv vælge noget fornuftigt.
  • Et password skal indeholde mindst tolv karakterer. Længere passwords kan kræves for priviligeret adgang, ved adgang til følsomme informationer eller til forretningskritiske systemer.
  • Et password skal indeholde kombinationer fra mindst tre af følgende kategorier: Store bogstaver, små bogstaver, tal og specialtegn. Desuden kan Æ, Ø, Å ikke benyttes til AU's systemer.
  • Et password bør ikke indeholde personlige oplysninger. Mange bruger fødselsdatoer, navne, adresser og lignende som password - og selv om de er nemme at huske, er de ofte relativt nemme at gætte for en person med skumle hensigter. Jo nemmere det er at henføre oplysningen til dig som person, jo nemmere er det at gætte.
  • Et password skal skiftes med jævne intervaller. 
  • Et password er strengt personligt. Du må aldrig oplyse dit password til andre. Ikke til dine kolleger, ikke til dine venner, ikke til din familie.
  • Hvis nogen sender dig en mail og beder om dit password, så slet mailen.
  • Hvis nogen sender dig et password per mail så log ind og ret det omgående.
  • Skift straks dit password, hvis der er den mindste mistanke om, at andre har fået kendskab til det.
  • Det er forbudt at anvende det eller de passwords som giver adgang til tjenester på Aarhus Universitet andre steder.
  • Et password må ikke genbruges.

Sådan husker du dit password

Det vigtigste krav til et sikkert password er, at du kan huske det. Hvis vi opfinder passwords, der er alt for svære at huske, fx T1Z#8q_N, sker der en af to ting:

  1. Vi glemmer passwordet - og skal så have et nyt.
  2. Vi skriver det ned, så vi ikke glemmer det.

Begge dele er uhensigtsmæssigt, og bør derfor undgås.

Herunder er præsenteret tre måder at lave/huske passwords på, som dels sikrer en rimelig kvalitet af de resulterende passwords, og dels øger sandsynligheden for, at du kan huske passwordet efterfølgende. 

Password ud fra sætninger

  • Det er nemmere at huske en sætning end en tilfældig rækkefølge af bogstaver, tal, specialtegn mv. Det kan man udnytte til at lave et password som en række af tegn, der bygger på en sætning. Fx Lauritz har været Rektor på Aarhus Universitet i mere end 4 år. Denne sætning kan fx omsættes til følgende password: LhvRpAU>4aar.
  • Uden huskesætningen ville dette password formentlig være tæt på umuligt at huske, men med huskesætningen bliver det pludseligt muligt at huske.
  • Man kan udvide systemet ved fx at substituere bestemte bogstaver med tal eller specialtegn.
    Fx Mit job er således det vigtigste på hele Aarhus Universitet. Som så kan blive til: Mj3$dvphAU. Her er s substitueret med $ og e substitueret med 3.

Password = passphrase

  • I stedet for at bruge passwords, kan man bruge passphrases. Dvs. hele sætninger som kodeord.
    Fx Peter har 1 gul Volvo, men den ser brun ud.
  • Denne passphase udemærker sig ved at være relativt let at huske, rimeligt komplekst, svært at gætte og så langt, at det i praksis ikke kan lade sig gøre at prøve sig frem.
  • Ulempen er, at ikke alle systemer understøtter passphrases. Dermed kan man i praksis blive tvunget til at benytte andre metoder.
  • Nogle gange kan det løses ved at fjerne "mellemrum" og andre ikke "normale" tegn, så sætningen i stedet bliver Peterhar1gulVolvomendenserbrunud, men hvis ikke det er nok, så må man bruge andre metoder, fx den der er beskrevet ovenfor.
  • Hvis det er muligt at benytte passphrases, skal man være opmærksom på ikke at benytte passphrases som er "nemme" at gætte, fx "Ole sad på 1 knold og sang". Berømte citater, kendte sange o.lign. findes sandsynligvis på hackernes passphrase lister, og dermed bliver det nemmere enten at gætte og/eller prøve sig frem.

Password Manager

  • I dag er det ikke bare ét password, vi skal huske, men mange forskellige passwords. De passwords vi bruger dagligt, kan vi måske huske, men de passwords til tjenester, som vi kun besøger en gang i mellem, kan være svære at huske.
  • I stedet anbefaler vi, at man anvender en "Password Manager" til at huske sine passwords. Password Managers findes i mange forskellige varianter, både som gratis versioner og som betalingsversioner. Nogle kan køre på flere platforme som fx Mac OSX, Windows, Linux, iOS, Android og Windows Phone, mens andre er bundet til en bestemt platform. Nogle er webbaserede, andre er egentlige programmer eller apps, som skal installeres.
  • Generelt bør man sikre sig, at det program man vælger, tilbyder en sikker kryptering af data. 256bit AES kryptering anses i dag for at være en sikker kryptering, så hvis programmet understøtter dette, er man formentlig godt beskyttet. Du skal dog huske, at sikkerheden i sidste ende afhænger af det password, som applikationen bruger til at beskytte data. Hvis du ikke vælger et password, som er sikkert nok, eller hvis du udleverer det til andre, så hjælper krypteringen dig ikke.