Danskerne genbruger alt for ofte passwords: »Man udsætter sig selv for en stor risiko«

Illustration: Henning Mølsted
På nettet findes masser af kriminelle, der bedrager, afpresser og stjæler både penge og persondata. Det bedste værn er at beskytte sine passwords og lytte til sin sunde fornuft. Det er danskerne bare ikke altid lige gode til.

Danskerne tager alt for let på sikkerheden, når det gælder valg af passwords, og de deler gerne passwords med familie og venner. Det viser en undersøgelse fra Nordea ifølge Center for Cybersikkerhed, der advarer mod øget risiko for tyveri af data.

Helt konkret er det for ofte, at vi genbruger det samme password til alt fra mailkonto til bankkonto. Eller deler password med familie og venner.

Hele 57 pct. bekræfter i undersøgelsen, at de ofte genbruger deres password og bruger samme password til mailkontoen, de sociale medier og konti i banken, mens 25 pct. deler deres personlige passwords med partneren, og 13 pct. deler dem med familie eller venner.

»Målingen viser, at alt for mange danskere ikke tager det alvorligt, når medierne igen og igen beretter om datatyveri, der både for privatpersoner og virksomheder kan ende med at blive en dyr affære. Vi er ganske enkelt til fare for os selv, når vi sjusker med passwords og tilsidesætter de ellers enkle sikkerhedsregler,« siger Nordeas forbrugerøkonom Ann Lehmann Erichsen, der står bag undersøgelsen, ifølge en nyhed på CFCS's hjemmeside.

Hun påpeger, at det ser værst ud for gruppen under 40 år, hvor næsten halvdelen deler deres passwords med andre.

»Vi er ganske enkelt til fare for os selv«

Passwords er ellers et af de vigtigste steder at starte med bedre cybersikkerhed, lyder det.

Center for Cybersikkerhed under Forsvarets Efterretningstjeneste påpeger, at der jævnligt sker forsøg på at få adgang til it-systemer ved hjælp af brugernavne og passwords, som er lækket i forbindelse med tidligere angreb. Derfor er det vigtigt, at man altid bruger unikke passwords og ikke bruger det samme password flere steder.

Hvis en webbutik bliver hacket, og hackerne får fat i alle brugernavne og passwords, så kan de i princippet få adgang alle de steder, hvor man har brugt det samme password.

»Passwords er et af de vigtigste steder at starte for at forbedre cybersikkerheden. Vi ved, at når hackere har fået fat i et password ét sted, så prøver de passwordet mange andre steder. Man udsætter således sig selv for en stor risiko, hvis man bruger det samme password igen og igen. Derfor anbefaler vi, at man sørger for at benytte stærke passwords og aldrig genbruger et password,« siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed, ifølge nyheden.

Cyberkriminalitet kan ramme alle

Det er ikke kun passwords, der bliver taget let på. Målingen viser også, at hver femte har klikket på et potentielt farligt link, som de har fået i en uopfordret mail eller sms. Og igen er de unge mindre påpasselige end resten af befolkningen.

»Når vi er på nettet, er tillid godt, men kontrol er bedre. Vi skal tænke os om, før vi klikker, så vi kan stoppe forsøg på datatyveri via phishing og smishing og beholde de privatfølsomme data for os selv,« siger Ann Lehmann Erichsen.

I sin seneste trusselsvurdering fra maj i år vurderer Center for Cybersikkerhed, at truslen fra cyberkriminalitet ikke blot er meget høj, den kan ramme alle fra myndigheder til virksomheder og borgere.

»De kriminelle bruger nettet til at stjæle alt fra penge til finansielle eller personlige oplysninger, til bedrageri og afpresning. Det bedste værn mod det er at beskytte sine passwords og lytte til sin sunde fornuft. Hvis man er det mindste i tvivl, kan man spørge en ven, en kollega eller sin arbejdsplads’ it-afdeling,« siger Thomas Lund-Sørensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Esben Bjerre

Det er alt for nemt at sige, at folk skal benytte stærke, unikke kodeord. Det gider de ikke, for der er ingen der kan huske dem (tror de). Jeg ved ikke hvad de officielle anbefalinger er, men jeg formoder at man stadig anbefaler det system der udskifter bogstaver i almindelige ord med tal og symboler, f.eks. Gardiner -> G@rdin3r.
Det ville være meget bedre med diceware, gerne min. 5 ord, og så kombinere med en password manager så der benyttes unikke passwords til hver konto.

Svend Nielsen

"Det viser en undersøgelse fra Nordea ifølge Center for Cybersikkerhed, der advarer mod øget risiko for tyveri af data."

Javel så. CFCS er altså med på, at man udsender spørgeskemaer for at afdække it-brugeres password vaner. Er det ikke stik imod al sund fornuft.

Jeg tror da gerne på, at de der har svaret på sådan en undersøgelse ikke skifter password, men alle de fornuftige, der ikke har svaret - FORDI MAN IKKE SKAL SVARE PÅ NOGET SOM HELST DER HAR MED PASSWORD AT GØRE - sørger givervis også for at holde passwords sikre.

Jeg undrer mig altså over, at CFCS kan finde på at henvise til en så åbenlys komprimiterende undersøgelse. Hvad har de gang i?

Mon ikke vi i løbet af de kommende uger ser nye "undersøgelser" fra "banker" som gerne vil vide om du bruger ungernes eller kæledyrenes navne i dit password, og også gerne vil vide hvad din hund heddet?

CFCS mener vi er til fare for os selv, men CFCS hjælper da godt til selv.
Kan nogen ikke give CFCS et sikkerhedskursus?

Martin Larsen

"Hvis en webbutik bliver hacket, og hackerne får fat i alle brugernavne og passwords, så kan de i princippet få adgang alle de steder, hvor man har brugt det samme password."

Nja, kun hvis webbutiken er så snotdum at gemme passwords i klartekst. Det sker ganske vist stadig i sjældne tilfælde, men hvis webbutiken følger regler og sund fornuft, hasher og salter de kodeordene. Og så er ulykken trods alt begrænset hvis nogle får adgang til de hashede kodeord. Selvfølgelig er det vigtigt at man ikke bruger 123456 som kodeord fordi den slags lette kodeord kan slås op i tabeller (især hvis de ikke er salted).

Martin Storgaard Dieu

Den delmængde af tal, der hedder cifre. :-)

Tjah. Nogle vil mene at R kan udskiftes med 12 som vel er to cifre eller blot et enkelt tal ;-)

Når det så er sagt, så er min formodning at man efterhånden går mere op i længde end kompleksitet. Det skader naturligvis ikke at man vælger tegn fra et stort alfabet, men "detteerenmegetlangadgangskodesadenersvaeratbruteforce" (53 tegn) er nu en gang mere sikker end "h3j!" (4 tegn). Man kan selvfølgelig spice den første lidt op med at indsætte specialtegn og tal mellem ordene, i starten og / eller slutningen. Kan man engelsk, så kan man passende få inspiration på correct horse battery staple

Jakob Sørensen

Jeg synes ofte man glemmer at kigge på, hvor kritiske passwords er. Jeg bruger fx samme password til mit NFL Fantasy League og mit Premier League Manager spil, på Holdet.dk. Og ja, hvis det kodeord falder i de forkerte hænder, så har hackeren adgang til begge dele. So what?

Der, hvor der er behov for høj sikkerhed, er steder som netbank, e-mails, NemID, osv. Ikke på den konto man har på FarmorsHækleOpskrifter.dk. Måske vi skulle starte med at lære folk, hvor de skal fokusere?

Bjarne Nielsen

Så det er vores egen skyld, at vi genbruger passwords?

Mon ikke problemet er, at der er alt for mange, som kræver passwords, og at der alt for mange, som tillægger passwords langt mere betydning i sikkerhedsmæssig sammenhæng, end de kan bære i praksis?

Hvorfor kan jeg ikke bestille en pizza online hos mit lokale pizzeria uden at jeg skal oprette mig med navn, adresse, email, telefonnummer og .... sgu! ... unikt password?

Lad os lige som tankeeksperiment vende den om: hvad nu hvis alle, som i dag kræver password, gav os et maskingenereret password med tilstrækkelig entropi til at løfte det forventede sikkerhedsniveau. Et password, som vi ikke kunne skifte til noget selvvalgt, men som automatisk blev skiftet med passende mellemrum.

Der ville gå sekunder før nettet smeltede ned, og support telefonerne glødede med "glemt password" henvendelser.

TL;DR: Det, som I beder om, er ikke realistisk. Kom nu ind i kampen!

Povl H. Pedersen

Det er dit problem du genbruger passwords.
Hvis man er i Apple verdenen, så foreslår telefon/browser på computer at lave unikt password, som deles på tværs af devices.
Chrome har vist noget tilsvarende.

Problemet er, at brugerne ikke tager disse nye features til sig. De vil have have et nyt LinkedCrapshotBook, CrappyCrash etc end at bruge tid på at sætte ind i de nye features der kommer i gamle produkter.

Simon Rigét

Hvis jeg altid brugte den samme PC, ville det være nemt at bruge meget stærke passwords. Jeg kunne blot lade passwordhuskeren tage sig af det, indtil de ændre layoutet og navnet på siden. Så kunne jeg benytte ”jeg har glem mit password” knappen.

Men hvordan gør man, når man bruger forskellige Pcere, med forskelligt OS og på forskellige lokationer, uden at skulle bruge en masse kræfter på at taste lange og umulige passwords ind?

Sidst jeg holdt godt styr på passeowds, havede jeg en liste på en USB stick med over hundrede steder og passwords. Det blev bare for meget arbejde, i forhold til andre angrebsvektore der åbnes op for.

Man må selvfølgeligt dele passwords op i kategorier efter vigtighed, men det ender jo ofte med næsten identiske passwords til diverse handelsplatforme og andre ret ligegyldige sites.

Jeg ser ikke nogen umiddelbare gode løsninger, som ikke bare flytter problemet et andet sted hen. Gør du?

Povl Hansen

Der er så utroligt mange sider der kræver man opretter en konto, selv om man ikke har behov for en, til de sider gider jeg ikke spilde tid på af finde på en kode så det bliver tit password, eller P@ssw0rd på de krævende sider

Hvis man bare kunne købe på nettet helt uden konto oprettelse, så ville man slippe for af oprette alle de ubrugelige kontoer, med tvilvsomme koder

Bjarne Nielsen

Jeg ser ikke nogen umiddelbare gode løsninger, som ikke bare flytter problemet et andet sted hen. Gør du?


SRP har fundtes i efterhånden en del år:

It solves the problem of authenticating clients to servers securely, in cases where the user of the client software must memorize a small secret (like a password) and carries no other secret information, and where the server carries a verifier for each user, which allows it to authenticate the client but which, if compromised, would not allow the attacker to impersonate the client.

(fra http://srp.stanford.edu/whatisit.html)

Med SRP kan dit password ikke blive lækket fra serveren, og flere servere vil ikke kunne se, at du bruger samme password. Men hvis dit password bliver opsnappet på anden vis (f.eks. keylogger), så vil det selvfølgelig kunne bruges alle disse steder.

Der findes også en del løsninger som falder ind under 2FA, som f.eks. HW-tokens ... man så skal man så huske dem. U2F virker rimeligt fornuftigt, og WebAuthn såmænd også. Eller helt simple OTP løsninger.

Såkaldte SSO aka Single Sign On løsninger kan også være en forbedring, men det kommer godt nok meget an på, hvordan det bliver gjort. De bud som kommer fra Facebook og Google er jeg ikke så imponeret af (og her tager EFF det såkaldte "Project Verify" under kærlig behandling).

Og der er ingen som forbyder, at ovenstående alternativer kombineres, hvis det skal være særligt sikkert.

Hvorved vi så vender tilbage til:

Det er dit problem du genbruger passwords.

Hvis man baserer sit sikkerhedsdesign på antagelser om brugerne og deres adfærd, som man ved, eller bør vide, ikke er realistiske, så er man enten meget kynisk eller meget naiv. Specielt, når der findes bedre alternativer (se ovenfor).

Og jeg er efterhånden derhenne, at jeg mener, at staten burde opkræve en afgift de steder, hvor man synes at vi skal logge ind med flade passwords! Ikke per brug, men per password. Det bør ikke være en gratis omgang at forlange passwords.

Svend Nielsen

Det er jo typisk victim blaming, når "vi" har problemer med at skifte passwords. Men problemet ligger et helt andet sted: Tiden er løbet fra passwords som authentikering. Selv med hæftigt krypterede passwords kan en bank eller webshop ikke holde dem hemmemige, hvis de hashede tekster slipper ud.
Og der er grænser for hvor meget du kan huske - for 20-30 år siden var det til at overkomme at huske 2-3 passwords, men nu om dage skal du enten bruge det samme (meget dum idé) eller vælge noget der er nemt at huske (endnu dummere idé).

Så der skal helt andre metoder til. Og det ville da have klædt CFCS at bruge anledningen til at opridse mulighederne, måske endda stille krav til - i det mindste - offentlige myndigheders login.

Men nej, CFCS mener at det er vores egen skyld og at vi er til fare for os selv. Og jeg er sikker på, at når en bruger kommer i klemme i systsmet, så fralægger man sig ethvert ansvar. Jeg kan allerede høre anklageskriftet:
1. Passwordet var for nemt at gætte
2. Det er ikke skiftet i flere år
3. Det er måske lånt ud til andre
4. Det bruges alle mulige andre steder
5... fortsæt selv listen.

Sandheden er, at IT systemet har:
1. Accepetert selv det simplete password, uden at advare
2. Ikke har stillet anden authentikering til rådighed
3. Ikke har sørget for at minde om at skigfte password
4. Ikke har passet ordentligt på brugerdata, som er sluppet ud
5. Undladt at informere om databrud når det opdages.
6. Har lagret alt for meget information om os uden samtykke eller behov
7. Ikke har fulgt internationale retningslinjer for datasikkerhed.
8. Ikke har opdateret centrale IT systemer i tide
9. Ikke monitoreret trusselsniveauet og taget nødvendige forholdsregler.
10. Ikke har tilstrækkeligt uddannede sikkerhedskyndige i organisationen

Kom så i gang CFCS.

Ditlev Petersen

Den delmængde af tal, der hedder cifre. :-)


Dvs. du vil ikke anbefale brug af romertal i ens password?

Selv om man har rimelige og forskellige password, så er ens mail-password ofte et lækkert mål. For kan man nappe en mail, så kan man sende en "Jeg har glemt mit password, giv mig et nyt" til "sig selv" og fange mailen. Offeret vil da opdage det, når passwordet pludselig ikke duer. Måske beder man så bare om endnu et password. Men hackeren har altså et par timer til at lave sjove og spændende ting.

Jeg kan heller ikke lide de sikkerhedsspørgsmål, der er så almindelige. De er alt det, som man har bedt folk undgå i årtier. Bilens farve, kældeyrs navn ... Og de er nogle steder obligatoriske. Man kan selvfølgelig svare "bezoarged" til bilens farve og "trump" til kæledyr, men den slags forudsætter en pæn portion antiautoritær tankegang.

Ditlev Petersen

Romertal udmærker sig ved at være - ja netop - bogstaver. :-)


Faktisk ikke. Tallet 2018 skal faktisk, i romertal, opfattes:
(I)(I)XVIII
Altså egentlig bare forskellige former for streger. At (I) blev til M er mere af æstetiske hensyn. Skal man nu skrive 10.000, så løber man tør for bogstaver (det sker omkring de 5000), men romernes regnskaber kunne naturligvis ikke stoppe der. Enten havde man streger over "bogstaverne" eller man dublerede buerne. 10.000 kan skrives ((I)), mens 100.000 kan skrives (((I)))

Rædsomt og upraktisk. C for 100 er så ( og D for 500 er I) (et halvt tusind-tegn). V for 5 er et halvt X. Romertal er banale streger til at snitte i en stok. Men så gik der stormagt i systemet og det voksede ud over sine grænser. Systemet er glimrende til beskedne kvægflokke.

Peter Kyllesbeck
Jan Heisterberg

En del af problemet med simple passwords stammer fra it-aldrens barndom, hvor de typisk var højst 8 tegn (og ingen specialtegn eller nationale bogstaver).

Så kom pin-koderne - som desværre endte på 4 tegn / cifre.

Hvis nu vi istedet begynder at tale om passphrase, så bliver det lettere at få lange og huskbare sekvenser.
F.eks. "Gud bevare Danmark" eller "I østen stiger Solen op".
Det kniber så lidt med brug af cifre (enkelte romertal finder let anvendelse !) og med krav om specialtegn.

Så mere nuancerede krav, hvor længde opvejer cifre og specialtegn.

Men det hjælper ikke altid på huske-udfordringen.

Lad os kalde det et "løsen" - og ihvertfald ikke kodeord.

I ordnet.dk står:
"løsen" = "kodeord eller remse der giver adgang til noget".

Nicolaj Rosing

Så mere nuancerede krav, hvor længde opvejer cifre og specialtegn


Der er forskel på om det i praksis virker mere sikkert i forhold til den teoretiske kompleksitet der øges ved blot at øge nøglelængden. I praksis vil en passphrase (et ‘løsen’ ...lækkert ord som klart bør tages ibrug igen) der består af ord der giver en vis sammenhæng udvalgt udfra en begrænset mængde (ordforråd) og måske grammmatisk også er mere eller mindre korrekt vil alt andet lige være nemmere at cracke.. Det hjælper selvfølgelig hvis man ikke kender sprog og kultur på forhånd. Brute force er ikke nødvendigvis den eneste eller mest effektive måde at hacke et system på. Social Engineering og brug af almindelige tilgængelige oplysninger især på sociale medier er ofte langt mere effektivt.

Gregor Giebel

Det skader naturligvis ikke at man vælger tegn fra et stort alfabet, men "detteerenmegetlangadgangskodesadenersvaeratbruteforce" (53 tegn) er nu en gang mere sikker end "h3j!" (4 tegn).


Hvordan er sikkerheden egentlig med et langt password, som er lavet site-specifikt, men kan huskes fordi det er samme stil man bruger? F.eks. passwordet til Version 2 kunne så hedde "detteermitrigtigtlangepasswordtilVersion 2", osv for andre gode websites. Hvis der er en (dansktalende) person som ser det, bliver det nemt at gætte mit password til Ing.dk, men det kan ikke genbruges direkte til andre sites af en automat.
Og hvordan bliver sikkerheden højnet med at bruge individuelle email accounts til hver website?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder