Det gode kodeord

Opdateret september 2018

Det kan være en udfordring at holde styr på sine kodeord på Internettet. Det er svært at huske mere end nogle få kodeord. Kodeord må ikke være simple så de let kan gættes.

National Institute of Standards and Technology (NIST) har i juni 2017 udgivet nye retningslinjer for kodeord gældende for US føderale myndigheder.

  • Jo længere jo bedre op til 64 tegn
  • Brug en frase – del af en sætning
  • Ingen krav til til store og små bogstaver, tal og specialtegn
  • Skift kun kodeord ved mistanke om kompromittering

Herudover skal myndighederne bl.a. sortliste kodeord som ikke må anvendes fordi de er lette at gætte og forhindre at hackere online kan generere flere tusinde forsøg pr. sekund.

Læse mere på The Verge

Der findes på borger.dk  en række vejledninger om kodeord.

Hvordan opbygges det gode kodeord

  • Det er langt og indeholder mindst tolv tegn
  • Den indeholder både store og små bogstaver
  • Det indeholder et eller flere tal
  • Det indeholder specialtegn (såsom #, ¤, % og {).
Store bogstaver, tal og specialtegn placeres rundt i adgangskoden og ikke kun til sidst eller først.

Hvorfor betyder længden noget

Længden af et kodeord har stor betydning for hvor svært det er at knække. Jo længere kodeord jo flere kombinationsmuligheder af tegnene. Der er med 80 mulige tegn, når små og store bogstaver tal og specialtegn regnes med ved 7 tegn 80muligheder og ved 12 tegn 8012 kombinationsmuligheder. Det vil for en hacker der har et mellemstort botnet tage 1 sekund at finde kodeordet ved 7 tegn men 2 tusinde år ved 12 tegn.

Det nytter dog ikke, hvis de tolv tegn er “password1234”. Det vil tage mindre end 1 sekund at kække dette kodeord selv på en langsom Pc, da hackerprogrammer er optimeret til at knække denne type kodeord.

Hvordan skal det så konstrueres

Der er mange anbefalinger om opbygning af kodeord herunder bl.a.

  • En række tilfældige tegn.
  • Første bogstav for hvert ord i en sætning.
  • En lang frase.
NIST fraråder i de nye anbefalinger de to gennemstregede anbefalinger, da denne type kodeord er svære/umulige at huske. Du kan eventuelt bruge

som inspiration.

Vurdering af om et kodeord er ikke en eksakt videnskab. Læs bl.a. dette indlæg på blog.dropbox

Hvor mange kodeord har jeg brug for

Det bedste løsning er at have et kodeord til hvert login, men det kan hurtigt blive mere end det er muligt at huske. En anden model er at have nogle få kodeord og klassificere sine logins eksempelvis således:

  • Kodeord til NemID genbruges ikke.
  • Kodeord til mailkonti bør ikke genbruges, hvis du har flere mailkonti.
  • Kodeord til konti, hvor du har registreret dit kreditkort, bør ikke genbruges.
  • Et kodeord som genbruges til alle konti, hvor det ikke betyder noget om kontoen hackes.

Kan jeg skrive mine kodeord ned

Du kan godt skrive dine kodeord ned og gemme papiret et sikkert sted i din bolig, men ikke i nærheden af din Pc, tablet eller smartphone. Du må heller ikke opbevare listen sammen med dit NemID. Hvis du vælger at skrive dine kodeord ned, så kan du lave dem som et gækkebrev, hvor nogle af tegnenene mangler.

HestenVralter-----Voldsomt

hvor de fem “-” er et ord som du genbruger.

En anden model er at lave en huskeregel eksempelvis 2. linje fra 2 vers fra danske sange. Du skriver så sangens navn ned og husker kun din huskeregel. Så bliver kodeordet for “Jeg elsker de grønne lunde” til:

med-kornets-bølgende-flugt

På din liste skriver du sangens navn ud for kontoen.

Skriv aldrig kodeord til NemID ned og genbrug det aldrig!

Anvendelse af en kodeordshusker

Du kan i stedet for selv at huske dine kodeord anvende en kodeordshusker. Der findes en række af disse eksempelvis Dashlane, 1Password., LastPass og KeyPass 2 En række antivirus programmer indeholder den samme funktionalitet-

Hvis du anvender de betalte versioner, så kan programmet synkronisere mellem dine enheder (PC, tablet og smartphone).

Du skal blot huske kodeordet til kodeordshuskeren. Det skal så være et godt kodeord, som du ikke skriver ned.

Kan jeg gemme kodeord i min browser

Du kan gemme dine kodeord i din browser, men bliver din PC stjålet eller hacket så er det let at knække dine kodeord  i browseren og i dit mailprogram. På siden http://www.nirsoft.net findes en række værktøjer, som kan anvendes til at finde kodeord på en Pc.

Hvor hyppigt skal jeg skifte kodeord

Hvis du bruger lange kodeord på 12 tegn eller flere, så behøver du ikke at skifte kodeord særligt ofte. Du kan godt bruge de meget lange kodeord i flere år og kun skifte ved mistanke om kompromittering.

To-trins-login

To-trins-login betyder, at du skal bruge to faktorer for at logge ind. Den ene faktor er dit kodeord og den anden faktor kan være et nøglekort/nøglegenerator, som med NemID, eller en  SMS, der sendes til din mobiltelefon. Det øger sikkerheden. Brug det derfor, hvor det tilbydes.

Vejledninger om aktivering og anvendelse af to-trins-login

Vejledning til NemID herunder skifte af adgangskode, bestilling af nyt nøglekort og blokering af nøglekort (spær dit NemID)

Hvordan anvendes biometri til identifikation

Biometri er en metode til at identificere en person ud fra biologiske kendetegn såsom fingeraftryk og iris-scanning eller ansigtsgenkendelse. Biometri kan anvendes alene eller i kombination med kodeord eller PIN kode.

Fingeraftryk kan anvendes til login på de nyere smartphones og tablets. På en iPhone er det kombineret med, at du efter 48 timer ud over fingeraftryk skal indtaste din PIN-kode.

De danske pas er efter 1. august 2016 udstyret med en chip, hvori der er lagret fingeraftryk.

Udgivet i Sikkerhed og tagget , .

Skriv et svar

This site uses Akismet to reduce spam. Learn how your comment data is processed.