I kjølvannet av sikkerhetshullet Heartbleed, har enkelte sikkerhetseksperter anbefalt nettbrukere å bytte passordene en har på ulike nettsider.

Kryptolog og forsker Håvard Raddum ved Simula i Bergen sier det foreløpig ikke er noen grunn til å overreagere.

KRYPTOLOG: Håvard Raddum sier Heartbleed er blant de største sikkerhetshullene han har sett.
Silje Katrine Robinson

— Sikkerhetshullet er noe av det større vi har sett, og det er spesielt det at vi ikke vet hvem som er rammet. Likevel trenger en ikke å ha panikk. Oppdager en misbruk, bør en imidlertid alltid bytte passord, sier han.

- Bruk «pass-phrase»

Dersom en først må lage nytt passord, anbefaler Raddum å bruke et såkalt «pass-phrase» - en passfrase.

— Det er en hel setning som betyr noe for den enkelte. Så bruker en eksempelvis den første bokstaven i hvert ord, og legger til tall eller spesialtegn. Da lager man en tekststreng som ikke ligner noe virkelig ord, forklarer Raddum.

Et eksempel kan være setningen det regner aldri i Bergen om sommeren . Da vil passordet bli draiBos , pluss tall eller spesialtegn.

- Legg til et påheng

Jørn Kippersund driver bloggen Innbokskontroll. Han mener også «pass-phrase»-metoden er god for å lage et sikkert passord.

— Metoden er god fordi den skaper et passord fullstendig uten mening for andre enn deg, samtidig som det er lett å huske på, forklarer han.

Kippersund foreslår videre å utvide stammen på passordet til å inneholde et kjennetegn for hvert sted en bruker det.

— En lager stammen med eksempelvis setningen jeg flyttet til Volda i 1998 , der en bruker tallene på hver side av ordet. Da blir stammen, med forbokstaven i hvert ord, 19jftVi98 , sier han og følger opp.

— Så kan en legge på et «påheng», spesifikt for hvert sted en bruker passordet, sier han.

Det kan eksempelvis gi et Facebook-passord lik 19jftVi98face , eller epost-passord lik 19jftVi98epo .

Alternativt kan en eksempelvis bruke første og femte bokstav i nettstedet en besøker som påheng, opplyser Kippersund.

- BESKYTT EPOSTEN: Jørn Kippersund driver bloggen Innbokskontroll. Han sier eposten er det viktigste å beskytte for å unngå hacking av passord.
INNBOKSKONTROLL.NO

— Folk kan være naive

Det viktigste rådet Kippersund har er å behandle eposten sin ekstra forsiktig. De fleste epostleverandører tilbyr en såkalt «totrinns bekreftelse». Da får en vanligvis tilsendt en kode på SMS, hvis en logger på fra en fremmedmaskin.

— Det er veldig få som har fokus på dette. Har du glemt et passord, kan du be om å få et nytt tilsendt på epost. Har noen tilgang til eposten din, kan de dermed få tilgang til de fleste passordene dine. Derfor må eposten beskyttes ekstra varsomt. En kan enkelt gå inn i epostinnstillingene og slå på denne bekreftelsen, sier Kippersund.

Han har inntrykk av at folk ofte kan være naive med tanke på hackerfarer.

— Den vanligste feilen folk begår er å bruke det samme passordet mange steder. Den nest vanligste er å ha et enkelt søkbart passord fra en ordliste, eller et navn.

Kraftige hackerverktøy

Kryptolog Raddum er enig i at å velge enkle passord som er virkelige ord er en tabbe.

Årsaken til at det er viktig å velge et passord som ikke ligner et vanlig ord, er de kraftige verktøyene datahackere har til disposisjon.

— Datakraften har vokst mye. De ulike språkene består bare av noen tusen ord. De kraftigste hackerverktøyene kan gjette flere milliarder passord i sekundet og er ofte basert på ordlister. Da tar det ikke så lang tid å knekke passordet. Selv relativt sterke passord kan bli tatt, forklarer Raddum.

- Stygg feil

Kort forklart dreier Heartbleed seg om at hvem som helst kunne lese av minnet til systemer som skulle vært beskyttet av krypteringsbiblioteket OpenSSL, og få noe av minnet til serveren. OpenSSL er en programvare som krypterer dataene som flyter mellom sikre nettsider rundt om i verden.

— Feilen er ganske stygg. Dette hullet har eksistert i to år. Nå pågår et voldsomt arbeid med å oppdatere programvaren til en versjon der denne sårbarheten ikke virker. Problemet er likevel at vi ikke vet hva som kan ha kommet på avveie, forklarer Raddum.