Password

(eller: løsen, kendeord, kodeord, nøgleord).

En kode, som en bruger skal identificere sig med for at få autorisation til at anvende en større eller mindre del af en computers programmel og data.

En bruger, der ønsker at anvende et program eller en anden beskyttet edb-ressource, skal starte med en log-on-procedure (f.eks. indtastning af brugernavn/brugernummer). Derefter indtastes password (eventuelt med skjult indtastning), der verificeres af værtscomputeren. Brugeren er derefter autoriseret til at arbejde med en nærmere afgrænset del af de lagrede programmer og data, som vil (bør) fremgå af den menu, brugeren vil blive præsenteret for. Autorisationen kan yderligere afgrænse, hvilken type behandling (læse/ændre/oprette/slette) brugeren må foretage på data.

Teknisk kan autorisationssystemet være en del af styresystemet, være indlagt i databaseprogrammel eller indarbejdet i opgaveprogrammellet. Uanset kvalitet og placering, vil en dygtig hacker imidlertid ofte kunne tiltvinge sig adgang til data. En sikker autorisation må derfor baseres på mere en blot et simpelt password.

Passwords kan give organisationen en falsk tryghed, idet brugerne kan finde brugen af password unødvendig eller belastende for den daglige arbejdssituation. De kan af denne grund være mindre omhyggelige med hemmeligholdelsen, eller med at udskifte passwords med jævne mellemrum. I visse systemer er der derfor indbygget en forældelse, således at nye password skal vælges med jævne mellemrum. Dette skyldes, at man i den bagvedliggende lagring og kryptering i forbindelse med passwords typisk anvender algoritmer, der ikke er umulige at bryde, men kun tager megen tid; for at gøre opgaven vanskeligere er det en god ide ikke at have samme password over en for lang periode.

En anden falsk tryghed kan skyldes anvendelse af password, der er dårlige i den forstand, at de er lette at gætte ved systematiske metoder. Eksempler på dårlige valg er: eget brugernavn, eget navn, navne i almindelighed, telefonnumre, fødselsdage, ord, der optræder i ordbøger, leksika og skønlitteratur eller på anden måde er oppe i tiden, ord som "system", "root", "adm", "wizard", "guru", "gandalf"; varianter af disse af typen "peter12", "aNnel1se", "ehtergraM", eller simple mønstre som A, S, AAAAAAA eller AbCdEfGh. Alle disse giver en hacker muligheden for systematiske angreb (et såkaldt dictionary attack), som kan programmeres og udføres selv på mindre computere. Har en hacker opsnuset et brugernavn, er han/hun i mange af ovennævnte tilfælde allerede et pænt stykke vej.

Gode password er lange (mindst 7-8 tegn), består af alle mulige tegn (såvel store som små bogstaver, cifre og interpunktionstegn), er lette at huske og hurtige at taste. Det er vigtigt at huske på, at et godt password er en hemmelighed mellem én person, brugeren, og computeren, og derfor aldrig må udleveres til andre, f.eks. ved at sendes pr. e-mail. En klassisk hacker-manøvre er at overtale en bruger til at udlevere sit password, f.eks. ved at forklæde sig som systemadministrator. Denne vil imidlertid aldrig have brug for brugeres password, idet han/hun har alle de privilegier, der skal til, i forvejen.