Aron Friðrik Georgsson skrifar:
Lykilorð hafa aldrei verið mikilvægari. Í dag geymir fólk mikið magn upplýsinga í tækjum sínum, m.a. í tölvum, snjallsímum, snjallúrum og snjallsjónvörpum. Flest ef ekki öll þessara tækja krefjast innskráningar í tækið með notendanafni og lykilorði. Það er erfitt að muna mörg lykilorð þannig að fólk freistast til að endurnýta lykilorðin á nokkrum stöðum. Sumir telja sig jafnvel ekki geta munað nema eitt lykilorð og nota það alls staðar. Þetta skapar hættu og veikir öryggið sem lykilorð eiga að veita, þar sem innbrot á einum stað gefur tölvuþrjótum aðgang að öllu öðru sem lykilorðið gengur að.
Troy Hunt, sérfræðingur í netöryggi, setti fram vefsíðuna „Have I Been Pwned? (HIBP)“ árið 2013. Á síðunni er öllum gert mögulegt að leita hvort netfang þeirra hafi verið meðal þeirra netfanga sem hafa lekið í gagnalekum. Síðan sem Troy rekur hefur nú um 2 milljón virka áskrifendur sem að fá tölvupóst ef netfang þeirra reynist vera hluti af gagnaleka. Vefsíðan hefur sjálfvirkar leitavélar sem leita stöðugt að stórum gagnalekum til þess að vera á undan fréttamönnum og þannig geta áskrifendur síðunnar breytt lykilorðum sínum áður en gagnalekinn er gerður opinber í fjölmiðlum. Undirritaður hvetur lesendur eindregið til að fletta upp netfangi sínu á síðunni og athuga hvort netfang þeirra hafi komið fyrir í gagnaleka.
Ekki nægir að skipta eingöngu um lykilorð. Lykilorð eru mismunandi sterk og því fleiri sem nota þau því verri eru þau. Til er listi yfir 100 algengustu lykilorðin og hefur „123456“ oftast toppað þann lista. Árið 2018 stal ungur tölvuþrjótur nokkrum „Snapchat“ notendareikningum með því að keyra lista af 100 algengustu lykilorðunum á notendanöfn sem voru á lista yfir nafnorð í orðabók. Þeir sem lentu í stuldinum voru því aðilar með fyrirsjáanleg og veik lykilorð. Oft heldur fólk að nóg sé breyta síðustu tölunni í lykilorðinu þannig að „Lykilorð1“ verður „Lykilorð2“. Flest tölvuþrjótar myndu prófa að breyta tölunni og þannig komast inn.
Hvað er þá til ráða? Hægt er að velja einstök og flókin lykilorð á öllum stöðum. Styrkur lykilorða er mældur í upplýsingaóreiðu (e. information entropy) og því fleiri stafir í lykilorðinu því hærra verður gildi upplýsingaóreiðunnar. Þá skiptir ekki mestu máli hvort að það er 4 í staðinn fyrir A eða punktur í miðju orðinu. Löng setning sem samansett er úr mörgum orðum gæti verið sterkara lykilorð sem auðveldara er að muna.
Þetta leysir þó ekki vandinn sem flestir glíma við, þ.e. að muna mörg mismunandi lykilorð og forðast að endurnýta lykilorðin á mörgum stöðum. Þar kemur tæknin okkur til bjargar. Til eru einfaldar lausnir í formi lykilorðasafna. Dæmi um þetta eru „1Password“ og „Last Pass“ sem gera notendum kleift að muna bara eitt lykilorð, þ.e. lykilorðið sem veitir aðgang að sjálfu lykilorðasafninu. Þar eru svo öll hin lykilorðin geymd og hægt að sækja þau að vild. Báðar þessar lausnir hafa þann valmöguleika að búa til lykilorð fyrir notendur sem eru verulega flókin og löng. Þar sem þjónustan man lykilorðið fyrir notendur er engin hætta að það gleymist, á meðan notandinn man lykilorðið að lykilorðasafninu. Þannig er hægt að komast upp með að velja bara eitt sterkt lykilorð og nota tæknina til að muna hin. Lausnirnar eru gjaldfrjálsar en bjóða líka upp á frekari þjónustu gegn vægu gjaldi.
Í apríl 2018 sagði Troy Hunt frá því að í gagnaleka frá CashCrate láku út 2.232.284 lykilorð. Á þeim tíma voru 1.910.144 af þeim lykilorðum þá þegar í gagngrunni (HIBP) frá fyrri gagnlekum. Þetta sýnir hve margir velja sér sama lykilorðið. Lykilorðið 123456 og lengri útgáfur af því eru meirihlutinn á listanum yfir 10 algengustu lykilorð. Verum frumleg, verjum upplýsingarnar okkar og veljum okkur sterk og einstök lykilorð.
Höfundur er viðskiptafræðingur og ráðgjafi í upplýsingaöryggismálum hjá Stika ehf. aron@stiki.eu
Þessi grein birtist fyrst í Morgunblaðinu 30. mars 2019