Danskerne genbruger alt for ofte passwords: »Man udsætter sig selv for en stor risiko«

10. oktober 2018 kl. 22:1229
Danskerne genbruger alt for ofte passwords: »Man udsætter sig selv for en stor risiko«
Illustration: Henning Mølsted.
På nettet findes masser af kriminelle, der bedrager, afpresser og stjæler både penge og persondata. Det bedste værn er at beskytte sine passwords og lytte til sin sunde fornuft. Det er danskerne bare ikke altid lige gode til.
person
Henning Mølsted
Redaktionschef
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Henning Mølsted
Redaktionschef

Danskerne tager alt for let på sikkerheden, når det gælder valg af passwords, og de deler gerne passwords med familie og venner. Det viser en undersøgelse fra Nordea ifølge Center for Cybersikkerhed, der advarer mod øget risiko for tyveri af data.

Helt konkret er det for ofte, at vi genbruger det samme password til alt fra mailkonto til bankkonto. Eller deler password med familie og venner.

Hele 57 pct. bekræfter i undersøgelsen, at de ofte genbruger deres password og bruger samme password til mailkontoen, de sociale medier og konti i banken, mens 25 pct. deler deres personlige passwords med partneren, og 13 pct. deler dem med familie eller venner.

»Målingen viser, at alt for mange danskere ikke tager det alvorligt, når medierne igen og igen beretter om datatyveri, der både for privatpersoner og virksomheder kan ende med at blive en dyr affære. Vi er ganske enkelt til fare for os selv, når vi sjusker med passwords og tilsidesætter de ellers enkle sikkerhedsregler,« siger Nordeas forbrugerøkonom Ann Lehmann Erichsen, der står bag undersøgelsen, ifølge en nyhed på CFCS's hjemmeside.

Artiklen fortsætter efter annoncen

Hun påpeger, at det ser værst ud for gruppen under 40 år, hvor næsten halvdelen deler deres passwords med andre.

EU-fokus på cybersikkerhed i oktober

I forbindelse med, at EU’s agentur for informationssikkerhed, Enisa, i oktober sætter fokus på cybersikkerhed med initiativet Cyber Security Month, sætter Nordea og Center for Cybersikkerhed sammen fokus på passwords som et altafgørende redskab til at styrke cybersikkerheden.

»Vi er ganske enkelt til fare for os selv«

Passwords er ellers et af de vigtigste steder at starte med bedre cybersikkerhed, lyder det.

Center for Cybersikkerhed under Forsvarets Efterretningstjeneste påpeger, at der jævnligt sker forsøg på at få adgang til it-systemer ved hjælp af brugernavne og passwords, som er lækket i forbindelse med tidligere angreb. Derfor er det vigtigt, at man altid bruger unikke passwords og ikke bruger det samme password flere steder.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Hvis en webbutik bliver hacket, og hackerne får fat i alle brugernavne og passwords, så kan de i princippet få adgang alle de steder, hvor man har brugt det samme password.

»Passwords er et af de vigtigste steder at starte for at forbedre cybersikkerheden. Vi ved, at når hackere har fået fat i et password ét sted, så prøver de passwordet mange andre steder. Man udsætter således sig selv for en stor risiko, hvis man bruger det samme password igen og igen. Derfor anbefaler vi, at man sørger for at benytte stærke passwords og aldrig genbruger et password,« siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed, ifølge nyheden.

Cyberkriminalitet kan ramme alle

Det er ikke kun passwords, der bliver taget let på. Målingen viser også, at hver femte har klikket på et potentielt farligt link, som de har fået i en uopfordret mail eller sms. Og igen er de unge mindre påpasselige end resten af befolkningen.

»Når vi er på nettet, er tillid godt, men kontrol er bedre. Vi skal tænke os om, før vi klikker, så vi kan stoppe forsøg på datatyveri via phishing og smishing og beholde de privatfølsomme data for os selv,« siger Ann Lehmann Erichsen.

Artiklen fortsætter efter annoncen

I sin seneste trusselsvurdering fra maj i år vurderer Center for Cybersikkerhed, at truslen fra cyberkriminalitet ikke blot er meget høj, den kan ramme alle fra myndigheder til virksomheder og borgere.

»De kriminelle bruger nettet til at stjæle alt fra penge til finansielle eller personlige oplysninger, til bedrageri og afpresning. Det bedste værn mod det er at beskytte sine passwords og lytte til sin sunde fornuft. Hvis man er det mindste i tvivl, kan man spørge en ven, en kollega eller sin arbejdsplads’ it-afdeling,« siger Thomas Lund-Sørensen.

29 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
29
Gregor Giebel
22. oktober 2018 kl. 13:18

Det skader naturligvis ikke at man vælger tegn fra et stort alfabet, men "detteerenmegetlangadgangskodesadenersvaeratbruteforce" (53 tegn) er nu en gang mere sikker end "h3j!" (4 tegn).

Hvordan er sikkerheden egentlig med et langt password, som er lavet site-specifikt, men kan huskes fordi det er samme stil man bruger? F.eks. passwordet til Version 2 kunne så hedde "detteermitrigtigtlangepasswordtilVersion 2", osv for andre gode websites. Hvis der er en (dansktalende) person som ser det, bliver det nemt at gætte mit password til Ing.dk, men det kan ikke genbruges direkte til andre sites af en automat. Og hvordan bliver sikkerheden højnet med at bruge individuelle email accounts til hver website?

  • more_vert
    • insert_linkKopier link
28
Nicolaj Rosing
14. oktober 2018 kl. 09:38

Så mere nuancerede krav, hvor længde opvejer cifre og specialtegn

Der er forskel på om det i praksis virker mere sikkert i forhold til den teoretiske kompleksitet der øges ved blot at øge nøglelængden. I praksis vil en passphrase (et ‘løsen’ ...lækkert ord som klart bør tages ibrug igen) der består af ord der giver en vis sammenhæng udvalgt udfra en begrænset mængde (ordforråd) og måske grammmatisk også er mere eller mindre korrekt vil alt andet lige være nemmere at cracke.. Det hjælper selvfølgelig hvis man ikke kender sprog og kultur på forhånd. Brute force er ikke nødvendigvis den eneste eller mest effektive måde at hacke et system på. Social Engineering og brug af almindelige tilgængelige oplysninger især på sociale medier er ofte langt mere effektivt.

  • more_vert
    • insert_linkKopier link
27
Jan Heisterberg
13. oktober 2018 kl. 18:51

En del af problemet med simple passwords stammer fra it-aldrens barndom, hvor de typisk var højst 8 tegn (og ingen specialtegn eller nationale bogstaver).

Så kom pin-koderne - som desværre endte på 4 tegn / cifre.

Hvis nu vi istedet begynder at tale om passphrase, så bliver det lettere at få lange og huskbare sekvenser. F.eks. "Gud bevare Danmark" eller "I østen stiger Solen op". Det kniber så lidt med brug af cifre (enkelte romertal finder let anvendelse !) og med krav om specialtegn.

Så mere nuancerede krav, hvor længde opvejer cifre og specialtegn.

Men det hjælper ikke altid på huske-udfordringen.

Lad os kalde det et "løsen" - og ihvertfald ikke kodeord.

I ordnet.dk står: "løsen" = "kodeord eller remse der giver adgang til noget".

  • more_vert
    • insert_linkKopier link
26
Peter Kyllesbeck
12. oktober 2018 kl. 00:43

.. og der manglede så et ord: ".. i flere år ..".

  • more_vert
    • insert_linkKopier link
24
Ditlev Petersen
11. oktober 2018 kl. 20:21

Romertal udmærker sig ved at være - ja netop - bogstaver. :-)

Faktisk ikke. Tallet 2018 skal faktisk, i romertal, opfattes: (I)(I)XVIII Altså egentlig bare forskellige former for streger. At (I) blev til M er mere af æstetiske hensyn. Skal man nu skrive 10.000, så løber man tør for bogstaver (det sker omkring de 5000), men romernes regnskaber kunne naturligvis ikke stoppe der. Enten havde man streger over "bogstaverne" eller man dublerede buerne. 10.000 kan skrives ((I)), mens 100.000 kan skrives (((I)))

Rædsomt og upraktisk. C for 100 er så ( og D for 500 er I) (et halvt tusind-tegn). V for 5 er et halvt X. Romertal er banale streger til at snitte i en stok. Men så gik der stormagt i systemet og det voksede ud over sine grænser. Systemet er glimrende til beskedne kvægflokke.

  • more_vert
    • insert_linkKopier link
22
Ditlev Petersen
11. oktober 2018 kl. 15:17

Den delmængde af tal, der hedder cifre. :-)

Dvs. du vil ikke anbefale brug af romertal i ens password?

Selv om man har rimelige og forskellige password, så er ens mail-password ofte et lækkert mål. For kan man nappe en mail, så kan man sende en "Jeg har glemt mit password, giv mig et nyt" til "sig selv" og fange mailen. Offeret vil da opdage det, når passwordet pludselig ikke duer. Måske beder man så bare om endnu et password. Men hackeren har altså et par timer til at lave sjove og spændende ting.

Jeg kan heller ikke lide de sikkerhedsspørgsmål, der er så almindelige. De er alt det, som man har bedt folk undgå i årtier. Bilens farve, kældeyrs navn ... Og de er nogle steder obligatoriske. Man kan selvfølgelig svare "bezoarged" til bilens farve og "trump" til kæledyr, men den slags forudsætter en pæn portion antiautoritær tankegang.

  • more_vert
    • insert_linkKopier link
21
Gert Madsen
11. oktober 2018 kl. 13:27

Det er ikke længe siden jeg blev opfordret til at skifte mit NemID password ud med en 4 cifret kode. Måske man skulle rette skytset andre steder hen, end mod den menige dansker.

  • more_vert
    • insert_linkKopier link
20
Svend Nielsen
11. oktober 2018 kl. 13:10

Det er jo typisk victim blaming, når "vi" har problemer med at skifte passwords. Men problemet ligger et helt andet sted: Tiden er løbet fra passwords som authentikering. Selv med hæftigt krypterede passwords kan en bank eller webshop ikke holde dem hemmemige, hvis de hashede tekster slipper ud. Og der er grænser for hvor meget du kan huske - for 20-30 år siden var det til at overkomme at huske 2-3 passwords, men nu om dage skal du enten bruge det samme (meget dum idé) eller vælge noget der er nemt at huske (endnu dummere idé).

Så der skal helt andre metoder til. Og det ville da have klædt CFCS at bruge anledningen til at opridse mulighederne, måske endda stille krav til - i det mindste - offentlige myndigheders login.

Men nej, CFCS mener at det er vores egen skyld og at vi er til fare for os selv. Og jeg er sikker på, at når en bruger kommer i klemme i systsmet, så fralægger man sig ethvert ansvar. Jeg kan allerede høre anklageskriftet:

  1. Passwordet var for nemt at gætte
  2. Det er ikke skiftet i flere år
  3. Det er måske lånt ud til andre
  4. Det bruges alle mulige andre steder 5... fortsæt selv listen.

Sandheden er, at IT systemet har:

  1. Accepetert selv det simplete password, uden at advare
  2. Ikke har stillet anden authentikering til rådighed
  3. Ikke har sørget for at minde om at skigfte password
  4. Ikke har passet ordentligt på brugerdata, som er sluppet ud
  5. Undladt at informere om databrud når det opdages.
  6. Har lagret alt for meget information om os uden samtykke eller behov
  7. Ikke har fulgt internationale retningslinjer for datasikkerhed.
  8. Ikke har opdateret centrale IT systemer i tide
  9. Ikke monitoreret trusselsniveauet og taget nødvendige forholdsregler.
  10. Ikke har tilstrækkeligt uddannede sikkerhedskyndige i organisationen

Kom så i gang CFCS.

  • more_vert
    • insert_linkKopier link
19
Bjarne Nielsen
11. oktober 2018 kl. 12:51

Jeg ser ikke nogen umiddelbare gode løsninger, som ikke bare flytter problemet et andet sted hen. Gør du?

SRP har fundtes i efterhånden en del år:

It solves the problem of authenticating clients to servers securely, in cases where the user of the client software must memorize a small secret (like a password) and carries no other secret information, and where the server carries a verifier for each user, which allows it to authenticate the client but which, if compromised, would not allow the attacker to impersonate the client.

(fra http://srp.stanford.edu/whatisit.html)

Med SRP kan dit password ikke blive lækket fra serveren, og flere servere vil ikke kunne se, at du bruger samme password. Men hvis dit password bliver opsnappet på anden vis (f.eks. keylogger), så vil det selvfølgelig kunne bruges alle disse steder.

Der findes også en del løsninger som falder ind under 2FA, som f.eks. HW-tokens ... man så skal man så huske dem. U2F virker rimeligt fornuftigt, og WebAuthn såmænd også. Eller helt simple OTP løsninger.

Såkaldte SSO aka Single Sign On løsninger kan også være en forbedring, men det kommer godt nok meget an på, hvordan det bliver gjort. De bud som kommer fra Facebook og Google er jeg ikke så imponeret af (og her tager EFF det såkaldte "Project Verify" under kærlig behandling).

Og der er ingen som forbyder, at ovenstående alternativer kombineres, hvis det skal være særligt sikkert.

Hvorved vi så vender tilbage til:

Det er dit problem du genbruger passwords.

Hvis man baserer sit sikkerhedsdesign på antagelser om brugerne og deres adfærd, som man ved, eller bør vide, ikke er realistiske, så er man enten meget kynisk eller meget naiv. Specielt, når der findes bedre alternativer (se ovenfor).

Og jeg er efterhånden derhenne, at jeg mener, at staten burde opkræve en afgift de steder, hvor man synes at vi skal logge ind med flade passwords! Ikke per brug, men per password. Det bør ikke være en gratis omgang at forlange passwords.

  • more_vert
    • insert_linkKopier link
18
Gert G. Larsen
11. oktober 2018 kl. 12:19

Hvordan laver man et godt password i dag??

Bruger en passwordgenerator og sikrer at man ikke selv kender passwordet, slår to-faktor til, via en anden teknik end SMS eller email, slår notifications af alle suspekte loginforsøg til, bruger app-specifikke passwords, bruger certifikater. Det er da meget nemt, ikke?

  • more_vert
    • insert_linkKopier link
17
Povl Hansen
11. oktober 2018 kl. 12:12

Der er så utroligt mange sider der kræver man opretter en konto, selv om man ikke har behov for en, til de sider gider jeg ikke spilde tid på af finde på en kode så det bliver tit password, eller P@ssw0rd på de krævende sider

Hvis man bare kunne købe på nettet helt uden konto oprettelse, så ville man slippe for af oprette alle de ubrugelige kontoer, med tvilvsomme koder

  • more_vert
    • insert_linkKopier link
16
Finn Petersen
11. oktober 2018 kl. 11:52

Til bla pizzariaer og lign. De har sikkert en glemt password knap. Brug den og få et nyt password hver gang du betiller pizza. Mvh Finn

  • more_vert
    • insert_linkKopier link
15
Simon Rigét
11. oktober 2018 kl. 11:20

Hvis jeg altid brugte den samme PC, ville det være nemt at bruge meget stærke passwords. Jeg kunne blot lade passwordhuskeren tage sig af det, indtil de ændre layoutet og navnet på siden. Så kunne jeg benytte ”jeg har glem mit password” knappen.

Men hvordan gør man, når man bruger forskellige Pcere, med forskelligt OS og på forskellige lokationer, uden at skulle bruge en masse kræfter på at taste lange og umulige passwords ind?

Sidst jeg holdt godt styr på passeowds, havede jeg en liste på en USB stick med over hundrede steder og passwords. Det blev bare for meget arbejde, i forhold til andre angrebsvektore der åbnes op for.

Man må selvfølgeligt dele passwords op i kategorier efter vigtighed, men det ender jo ofte med næsten identiske passwords til diverse handelsplatforme og andre ret ligegyldige sites.

Jeg ser ikke nogen umiddelbare gode løsninger, som ikke bare flytter problemet et andet sted hen. Gør du?

  • more_vert
    • insert_linkKopier link
14
Povl H. Pedersen
11. oktober 2018 kl. 11:02

Det er dit problem du genbruger passwords. Hvis man er i Apple verdenen, så foreslår telefon/browser på computer at lave unikt password, som deles på tværs af devices. Chrome har vist noget tilsvarende.

Problemet er, at brugerne ikke tager disse nye features til sig. De vil have have et nyt LinkedCrapshotBook, CrappyCrash etc end at bruge tid på at sætte ind i de nye features der kommer i gamle produkter.

  • more_vert
    • insert_linkKopier link
13
Bjarne Nielsen
11. oktober 2018 kl. 10:46

Så det er vores egen skyld, at vi genbruger passwords?

Mon ikke problemet er, at der er alt for mange, som kræver passwords, og at der alt for mange, som tillægger passwords langt mere betydning i sikkerhedsmæssig sammenhæng, end de kan bære i praksis?

Hvorfor kan jeg ikke bestille en pizza online hos mit lokale pizzeria uden at jeg skal oprette mig med navn, adresse, email, telefonnummer og .... sgu! ... unikt password?

Lad os lige som tankeeksperiment vende den om: hvad nu hvis alle, som i dag kræver password, gav os et maskingenereret password med tilstrækkelig entropi til at løfte det forventede sikkerhedsniveau. Et password, som vi ikke kunne skifte til noget selvvalgt, men som automatisk blev skiftet med passende mellemrum.

Der ville gå sekunder før nettet smeltede ned, og support telefonerne glødede med "glemt password" henvendelser.

TL;DR: Det, som I beder om, er ikke realistisk. Kom nu ind i kampen!

  • more_vert
    • insert_linkKopier link
12
Jakob Sørensen
11. oktober 2018 kl. 10:41

Jeg synes ofte man glemmer at kigge på, hvor kritiske passwords er. Jeg bruger fx samme password til mit NFL Fantasy League og mit Premier League Manager spil, på Holdet.dk. Og ja, hvis det kodeord falder i de forkerte hænder, så har hackeren adgang til begge dele. So what?

Der, hvor der er behov for høj sikkerhed, er steder som netbank, e-mails, NemID, osv. Ikke på den konto man har på FarmorsHækleOpskrifter.dk. Måske vi skulle starte med at lære folk, hvor de skal fokusere?

  • more_vert
    • insert_linkKopier link
10
Martin Storgaard Dieu
11. oktober 2018 kl. 10:11

Den delmængde af tal, der hedder cifre. :-)

Tjah. Nogle vil mene at R kan udskiftes med 12 som vel er to cifre eller blot et enkelt tal ;-)

Når det så er sagt, så er min formodning at man efterhånden går mere op i længde end kompleksitet. Det skader naturligvis ikke at man vælger tegn fra et stort alfabet, men "detteerenmegetlangadgangskodesadenersvaeratbruteforce" (53 tegn) er nu en gang mere sikker end "h3j!" (4 tegn). Man kan selvfølgelig spice den første lidt op med at indsætte specialtegn og tal mellem ordene, i starten og / eller slutningen. Kan man engelsk, så kan man passende få inspiration på correct horse battery staple

  • more_vert
    • insert_linkKopier link
9
Martin Larsen
11. oktober 2018 kl. 10:10

Så vidt jeg kan lige kan læse mig frem til er denne teknik (eller i al fald det benyttede værktøj) designet til XP kodeord. Men det er selvfølgelig tankevækkende alligevel.

  • more_vert
    • insert_linkKopier link
8
Maciej Szeliga
11. oktober 2018 kl. 10:03

Jf. dansk lov så skal personer som er TIL FARE FOR SIG SELV OG ANDRE lukkes inde til behandling.

Jeg vil her påpege at psykiatrien ikke på nuværende tidspunkt har kapacitet til at håndtere omkring 1 mill. ekstra patienter.

  • more_vert
    • insert_linkKopier link
6
Martin Larsen
11. oktober 2018 kl. 09:26

"Hvis en webbutik bliver hacket, og hackerne får fat i alle brugernavne og passwords, så kan de i princippet få adgang alle de steder, hvor man har brugt det samme password."

Nja, kun hvis webbutiken er så snotdum at gemme passwords i klartekst. Det sker ganske vist stadig i sjældne tilfælde, men hvis webbutiken følger regler og sund fornuft, hasher og salter de kodeordene. Og så er ulykken trods alt begrænset hvis nogle får adgang til de hashede kodeord. Selvfølgelig er det vigtigt at man ikke bruger 123456 som kodeord fordi den slags lette kodeord kan slås op i tabeller (især hvis de ikke er salted).

  • more_vert
    • insert_linkKopier link
4
Jesper Frimann
11. oktober 2018 kl. 09:02

Jup det er derfor at Pape holder fast på, at spore os alle steder vi går hen. Det er til vores eget bedste, vi er jo ganske enkelt til fare for os selv.

// Jesper

  • more_vert
    • insert_linkKopier link
3
Christian Nobel
11. oktober 2018 kl. 08:13

Er det Center for CyberUsikkerheds nye motto?

  • more_vert
    • insert_linkKopier link
2
Svend Nielsen
11. oktober 2018 kl. 07:57

"Det viser en undersøgelse fra Nordea ifølge Center for Cybersikkerhed, der advarer mod øget risiko for tyveri af data."

Javel så. CFCS er altså med på, at man udsender spørgeskemaer for at afdække it-brugeres password vaner. Er det ikke stik imod al sund fornuft.

Jeg tror da gerne på, at de der har svaret på sådan en undersøgelse ikke skifter password, men alle de fornuftige, der ikke har svaret - FORDI MAN IKKE SKAL SVARE PÅ NOGET SOM HELST DER HAR MED PASSWORD AT GØRE - sørger givervis også for at holde passwords sikre.

Jeg undrer mig altså over, at CFCS kan finde på at henvise til en så åbenlys komprimiterende undersøgelse. Hvad har de gang i?

Mon ikke vi i løbet af de kommende uger ser nye "undersøgelser" fra "banker" som gerne vil vide om du bruger ungernes eller kæledyrenes navne i dit password, og også gerne vil vide hvad din hund heddet?

CFCS mener vi er til fare for os selv, men CFCS hjælper da godt til selv. Kan nogen ikke give CFCS et sikkerhedskursus?

  • more_vert
    • insert_linkKopier link
1
Esben Bjerre
11. oktober 2018 kl. 07:19

Det er alt for nemt at sige, at folk skal benytte stærke, unikke kodeord. Det gider de ikke, for der er ingen der kan huske dem (tror de). Jeg ved ikke hvad de officielle anbefalinger er, men jeg formoder at man stadig anbefaler det system der udskifter bogstaver i almindelige ord med tal og symboler, f.eks. Gardiner -> G@rdin3r. Det ville være meget bedre med diceware, gerne min. 5 ord, og så kombinere med en password manager så der benyttes unikke passwords til hver konto.

  • more_vert
    • insert_linkKopier link