Eg bestilte eit lite ferieopphald og valde å registrere meg. Når ein opprettar konti, blir ein bedd om å setje eit passord. Overraskinga kom på e-post i etterkant: Eg fekk medlemsnummeret og passordet i klartekst. Eit lite pluss i det negative er at e-posten gjekk via kryptert kanal over internett og ikkje i klartekst.

Eg vil setje søkelyset på det mest sentrale: Det at ein får passordet i klartekst frå ei teneste, er klar indikasjon på at passordet er lagra i klartekst eller i ei kryptert form som gjer at det kan gjenskapast.

Dei som har tilgang til systemet på eit administrativt nivå kan mest sannsynleg lese passorda til kundane. Eg vil understreke at det betyr ikkje at dei gjer det, men at dei vil ha høve til det. Dersom ein trusselaktør (hacker o.l.)  hentar ut data/systemet, kan dei mest sannsynleg finne eller gjenskapa passorda til kundane. Sannsynlegheita for at ekstern aktør får tak i dataene kan vere marginal om det er sikra godt, men det har skjedd og vil skje. Ingen ting er garantert.

Lagring av passord i klartekst eller ei ein form som gjer at det kan gjenskapast er ikkje godt handverk. Eg vil difor minne på at brukaren, du og eg, alltid må ta høgde for at dei som leverer ei teneste kan sjå passordet!

Det er viktig at tenester du teiknar deg for får sitt eige, unike passord som berre blir brukt der og ingen anna stad. Ikkje bruk passordsystem der du har ein liten bit som endrast basert på navn på tenesta og ein fast del som gjer at du kan hugse passord. Kan du hugse passordet på alle dine tenester er det ikkje eit godt teikn. Kan nokon lese passordet ditt ein stad, kan dei lett utlede kva passordet vil vere på ei anna teneste.

Eg svergar til komplett kaos, men eg har hjelp i Keepass. Programmet kan lage infernalsk vanskelege passord, samtidig som det gir meg oversikt over tenestene eg har teikna meg for. Etter over 20 år på internett, har det vorte ein del.