Hvorfor mener en sikkerhetsekspert det er en god idé å oppbevare passordene sine i en konvolutt?
Passord til ulike tjenester på nett kan være vanskelig å holde styr på. Foto: Flickr/Ron Bennetts
Å ha passord skrevet ned på pair er neppe det første mange assosierer med IT-sikkerhet. Det har versert mange råd om hvordan man behandler denne typen sensitiv informasjon, og vi i NRKbeta sitter dessverre ikke på fasiten. Selv om det kan være nok å holde styr på sine (forhåpentlig) ulike passord, hva da om andre kunne trenge tilgang? Sikkerhetsekspert Per Thorsheim kommer med et nyttig og oppsiktsvekkende råd i anledningen.
I forbindelse med Sigrid-saken fortalte politiet tidlig at de stod uten passord til nett-tjenester som kunne gi viktig informasjon i saken. Hanne Kristin Rohde i Oslo politidistrikt sa følgende:
Bevegelsene hennes på sosiale medier kan gi oss nyttige opplysninger. Har noen truet henne, utsatt henne for noe ubehagelig, eller har hun avtalt å møte noen?
Hanne Kristin Rohde, leder for seksjonen for vold- og seksualforbrytelser
Informasjonsvideo
Thorsheim har nylig laget en tankevekkende informasjonsvideo beregnet på ungdom som tar for seg dette temaet:
Thorsheim har flere ganger uttalt seg til norske medier i forbindelse med blant annet forsvinningssaker og har derfor lenge tenkt på å lage en slik video. Håpet er at flere skal få vite hvordan man kan gjøre det enklere for pårørende å administrere ulike kontoer på sosiale medier. Ikke bare ved forsvinninger, men også ved dødsfall kan det være nyttig for pårørende å ha tilgang til slik informasjon.
- Går du bort vil administrasjon av finansiell informasjon og slikt gå i orden via lovverket. Kontoer i sosiale medier, hvor vil du ha lagt igjen mye av livet ditt, er det vanskeligere å få kontroll over for pårørende, sier Thorsheim.
Han forteller om Googles nye tjeneste “Account life cycle manager“. Har du denne aktivert og det ikke registreres aktivitet på Google-kontoen din over en gitt periode, vil kontoen bli overlevert til en eller flere personer du har bestemt på forhånd. Thorsheim sier dette er noe av det som utgjør ditt digitale testament.
Per Thorsheim Foto: Privat
Å skrive ned passord gjør det ikke bare enklere å spore opp noen, men gir etterlatte en mulighet til å rydde opp i ditt digitale liv.
Per Thorsheim
Thorsheim tror de færreste husker alle sine passord. Selv har han i overkant av to hundre, som det ville vært svært vanskelig å huske.
Les også: Unngå identitetstyveri: Enkle grep for å øke sikkerheten på nett
- Kyndige databrukere vil jeg anbefale å ta i bruk et program som kan administrere passord. Den enkleste løsningen for de uten så mye kompetanse på dette feltet vil være å skrive ned passordene, putte arket i en konvolutt og oppbevare den på et trygt sted, sier han til NRKbeta.
NSM er enig
Dette rådet stiller seniorrådgiver Roar Thon ved Nasjonal sikkerhetsmyndighet seg bak, men understreker likevel at det går mot det generelle rådet fra bransjen om å aldri gi fra seg denne typen personlig informasjon til andre.
- I kurssammenheng har jeg oppfordret til å skrive ned passord og legge dem i en bok i bokhylla. Sjansen for at noen bryter seg inn og leter etter et slikt kode-ark er jo betydelig mindre enn at noen klarer å knekke passordet ditt på nettet. Det finnes også programvare har som har utgitt seg for å ta vare på passord, men som viser seg å ikke gjøre det. Mange har også passord i et regneark på datamaskinen, men det innebærer også større risiko enn bokhylla, forteller han.
Savnet-gruppe
Anders Oksvold, Oslo politidistrikt Foto: NRK/Bengt Kristiansen
- Vi har fra tid til annen i saker hvor foreldre har tilgang til savnede personers kontoer i sosiale medier. I de tilfellene virker det som vedkommende har passord innlåst og en avtale med de nærmeste i hvilke tilfeller de kan benytte seg av dem, slier Anders Oksvold ved savnetgruppa i Oslo politidistrikt.
Han forklarer at mye av den informasjonen som brukes i letingen etter savnede personer kommer fra nettopp sosiale medier. Selv om han ser nytten av å skrive ned passordene slik Thorsheim foreslår, eksisterer det ingen offisielle råd fra forvaltningen relatert til passord, utover nettvettreglene. Politiet har heller ikke dette, men opererer med noen forsiktighetsråd for bruk av sosiale medier, etter den økte bruken av eksempelvis Facebook-grupper for å organisere leting i savnet-saker.
Å få tilgang til slik informasjon tidlig i en sak tror Oksvold kan være avgjørende, så framt forsvinningen har noe med en konflikt å gjøre. Da er sannsynligheten høy for at man har kommunisert om dette i sosiale medier, eller man har avtalt eller planlagt reiser.
Han ser for seg at det kan være behov for denne typen opplysninger for å komme i kontakt med vitner og venner, da det ikke nødvendigvis er nær familie som kjenner en person best. Det kan være venner eller noen vedkommende kjenner fra fritidsaktiviteter, som man gjerne snakker med via sosiale medier, sier Oksvold.
Å få mest mulig informasjon det første døgnet er viktigst i slike saker. Vil man derimot bli borte, og ikke ønsker å bli funnet, vil ikke opplysninger fra sosiale medier spille like stor rolle, mener Oksvold.
Trygg framtid?
- Flere filmer kommer, forteller Thorsheim, som i slutten av måneden arrangerer passordkonferansen PasswordsCon i Las Vegas.
Når det gjelder framtiden for passord, tror han ikke de forsvinner med det første. Passord er en billig løsning å ta i bruk som støttes av alle systemer. Totrinnsinnlogging, som bruker et fysisk element som kodebrikke eller mobiltelefon i tillegg til passord, er komplisert og koster mer penger samtidig som brukervennligheten blir dårligere, forteller han.
- Totrinnsinnlogging som tar i bruk mobiltelefonen kan gjøre at dine etterlatte ikke vil kunne logge seg inn på din konto om mobilen din også er borte. Denne typen innlogging kan altså styrke sikkerheten din, men i tilfeller hvor andre trenger tilgang til kontoene dine på nett, kan den svekke tryggheten. Der må man gjøre en overordnet risikovurdering, sier Thorsheim.
Hva tenker du om denne måten å behandle passord på? Har du andre tips?