Data og systemer skal beskyttes mod uvedkommende adgang. Det gælder selvfølgelig navnlig når man håndterer fortrolige eller følsomme data, men også almindelig maskiner og systemer skal beskyttes, så kun de rette personer kan tilgå data.
Den almindeligste beskyttelsesmekanisme er brugernavne og adgangskoder, og den almindeligste vej til kompromittering af databeskyttelsen er svage eller lækkede adgangskoder. Du skal som bruger af Professionshøjskolen Absalons it-systemer overholde nogle helt simple regler om adgangskoder.
Regler for adgangskoder
Der er grundlæggende tre måder, hvorpå en forbryder kan få adgang til en adgangskode; ved at spørge, ved at gætte eller ved at forsøge sig frem.
Det handler derfor om at lave en adgangskode, der beskytter bedst muligt mod ovenstående. Det eneste der kan stoppe en forbryder, som forsøger sig frem, er at stille krav til længden og kompleksiteten af adgangskoden, samt, med jævne mellemrum, at skifte sin adgangskode. Derfor har Absalon også nogle minimumskrav inden for disse områder.
- Adgangskoder skal være stærke. Du skal sørge for at din adgangskode ikke kan gættes nemt. Nogle systemer sørger automatisk for at visse minimumskrav overholdes; på andre skal du selv vælge noget fornuftigt.
- En adgangskode skal indeholde mindst 8 tegn. Længere adgangskoder kan kræves for priviligeret adgang, ved adgang til følsomme informationer eller til forretningskritiske systemer.
- En adgangskode skal indeholde kombinationer fra mindst tre af følgende kategorier: Store bogstaver, små bogstaver, tal og specialtegn. Desuden kan Æ, Ø, Å ikke benyttes til Absalons systemer.
- En adgangskode bør ikke indeholde personlige oplysninger. Mange bruger fødselsdatoer, navne, adresser og lignende som adgangskode - og selv om de er nemme at huske, er de ofte relativt nemme at gætte for en person med skumle hensigter. Jo nemmere det er at henføre oplysningen til dig som person, jo nemmere er det at gætte.
- En adgangskode skal skiftes med jævne intervaller, ligesom din Absalon-konto som kræver en ny adgangskode minimum hvert halve år.
- En adgangskode er strengt personligt. Du må aldrig oplyse din adgangskode til andre. Ikke til dine kolleger, ikke til dine venner, ikke til din familie.
- Hvis nogen sender dig en mail og beder om din adgangskode, så slet mailen.
- Hvis nogen sender dig en adgangskode per mail, så log ind og ret det omgående.
- Det er forbudt at anvende den eller de adgangskoder som giver adgang til tjenester på Professionshøjskolen Absalon andre steder.
- En adgangskode må ikke genbruges.
Hvis der er mistanke om, at kodeordet er blevet misbrugt eller at andre har fået kendskab til det, skal Digital informeres med det samme, der uden unødig forsinkelse iværksætter automatisk nulstillelse af adgangskoden.
Hvis Digital får mistanke om misbrug af adgangskode, bliver denne ligeledes uden unødig forsinkelse automatisk nulstillet. Endvidere bliver den konkrete sag anmeldt som et sikkerhedsbrud til Absalon.
Sådan husker du din adgangskode
Det vigtigste krav til en sikker adgangskode er, at du kan huske det. Hvis vi opfinder adgangskoder, der er alt for svære at huske, fx T1Z#8q_N, sker der en af to ting:
- Vi glemmer adgangskoden - og skal så have et nyt.
- Vi skriver det ned, så vi ikke glemmer det.
Begge dele er uhensigtsmæssigt, og bør derfor undgås.
Herunder er præsenteret tre måder at lave/huske adgangskoder på, som dels sikrer en rimelig kvalitet af de resulterende adgangskoder, og dels øger sandsynligheden for, at du kan huske adgangskoden efterfølgende.
Adgangskoder ud fra sætninger
- Det er nemmere at huske en sætning end en tilfældig rækkefølge af bogstaver, tal, specialtegn mv. Det kan man udnytte til at lave en adgangskode som en række af tegn, der bygger på en sætning. Fx Lars har været Statsminister for Danmark i mere end 4 år. Denne sætning kan fx omsættes til følgende adgangskode: LhvSfDK>4aar.
- Uden huskesætningen ville denne adgangskode formentlig være tæt på umuligt at huske, men med huskesætningen bliver det pludseligt muligt at huske.
- Man kan udvide systemet ved fx at substituere bestemte bogstaver med tal eller specialtegn.
Fx Mit job er således det vigtigste på hele Professionshøjskolen Absalon. Som så kan blive til: Mj3$dvphPHA. Her er s substitueret med $ og e substitueret med 3.
Adgangskode = passphrase
- I stedet for at bruge adgangskoder, kan man bruge passphrases. Dvs. hele sætninger som kodeord.
Fx Peter har 1 gul Volvo, men den ser brun ud. - Denne passphase udemærker sig ved at være relativt let at huske, rimeligt komplekst, svært at gætte og så langt, at det i praksis ikke kan lade sig gøre at prøve sig frem.
- Ulempen er, at ikke alle systemer understøtter passphrases. Dermed kan man i praksis blive tvunget til at benytte andre metoder.
- Nogle gange kan det løses ved at fjerne "mellemrum" og andre ikke "normale" tegn, så sætningen i stedet bliver Peterhar1gulVolvomendenserbrunud, men hvis ikke det er nok, så må man bruge andre metoder, fx den der er beskrevet ovenfor.
- Hvis det er muligt at benytte passphrases, skal man være opmærksom på ikke at benytte passphrases som er "nemme" at gætte, fx "Ole sad på 1 knold og sang". Berømte citater, kendte sange o.lign. findes sandsynligvis på hackernes passphrase lister, og dermed bliver det nemmere enten at gætte og/eller prøve sig frem.
Password Manager
- I dag er det ikke bare én adgangskode, vi skal huske, men mange forskellige adgangskoder. De adgangskoder vi bruger dagligt, kan vi måske huske, men de adgangskoder til tjenester, som vi kun besøger en gang i mellem, kan være svære at huske.
- I stedet anbefaler vi, at man anvender en "Password Manager" til at huske sine adgangskoder. Password Managers findes i mange forskellige varianter, både som gratis versioner og som betalingsversioner. Nogle kan køre på flere platforme som fx Mac OSX, Windows, Linux, iOS, Android og Windows Phone, mens andre er bundet til en bestemt platform. Nogle er webbaserede, andre er egentlige programmer eller apps, som skal installeres.
- Generelt bør man sikre sig, at det program man vælger, tilbyder en sikker kryptering af data. 256bit AES kryptering anses i dag for at være en sikker kryptering, så hvis programmet understøtter dette, er man formentlig godt beskyttet. Du skal dog huske, at sikkerheden i sidste ende afhænger af den adgangskode, som applikationen bruger til at beskytte data. Hvis du ikke vælger en adgangskode, som er sikker nok, eller hvis du udleverer det til andre, så hjælper krypteringen dig ikke.