Hammarby Sjöstad.

Dåligt minne kräver bra lösenord

Första dagen tillbaka efter julledigheten och i min kalender står det att jag ska skriva ett blogginlägg. Men min hjärna ligger fortfarande på soffan och äter knäck. Inte ens koden till dagisporten kunde den langa fram här i morse, så jag och sonen fick snällt vänta till någon annan förälders hjärna dök upp. Och inte nog med det, nu ska den hosta upp ett superintressant bloggämne också och det enda jag kan tänka mig att skriva om är den där dagiskoden.

(hoppa direkt till Rickards metod för att skapa säkra lösenord)

Dagiskoden alltså. Jag bor i Hammarby sjöstad, en stadsdel som min granne brukar kalla för ”Södermalms gated community” och i morse samtidigt som alla IT-konsulter, ekonomer och PR-människor var på väg därifrån och alla Rut var på väg dit, så rullade jag och min son i sakta mak iväg mot förskolan.

Men dagis är skyddat av en kod, sannolikt för att ingen obehörig ska få för sig att gå in och knycka någons barn. En säkerhet som är mycket svag eftersom undertecknad med gott mod skulle släppa in vilken främling som helst som tog rygg på mig. För även om jag hade känt samtliga av de 80 barn vars föräldrar, farföräldrar, morföräldrar, mostrar, fastrar och så vidare som frekvent besöker förskolan plus personal och eventuella vikarier, så är jag ansiktsblind och känner hjälpligt igen personalen och knappast alla föräldrar på vår sons avdelning.

Hur som helst, tillbaka till dagiskoden. Jag kommer fortfarande inte ihåg siffrorna men jag tror jag kommer lyckas slå in den när jag står framför dörren nästa gång. Platsen och vanan kommer sannolikt göra att det klickar nästa gång när hjärnan är lite mer vaken. Och jag tror jag vet i vilket mönster koden ska slås. Jaja, det är ett framtida problem. Men dagiskod-incidenten fick mig att tänka på alla koder, siffror och lösenord vi dagligen tvingas fiska fram och hur dåliga våra svampiga människohjärnor är på att komma ihåg dessa.

Nu kanske du tänker, ånej inte ett lösenordsblogginlägg till, det finns ju redan så många. Visst, du har rätt, Anne-Maries blogginlägg går inte att överträffa, hon har tagit med de flesta aspekter. Däremot skulle jag vilja (med dagiskodproblemet färskt i minnet) erbjuda min metod.

Pinngubben xkcd har sagt det förr  och jag kan inte säga det bättre själv, lösenord med många slumpmässigt valda stora och små bokstäver och siffror är svåra för datorer att gissa men skitsvåra för våra mjuka hjärnor att komma ihåg. Kort sagt, svåra lösenord är svåra att gissa men också svåra att komma ihåg och lätta lösenord är lätta att gissa men också lätta att komma ihåg. Oavsett problemet med ansiktsblindhet så är fyra siffror dagiskod skitsvårt att komma ihåg en måndagmorgon men oerhört lätta att knäcka för en kodknäckningsrobot.

Svårt att gissa, lätt att komma ihåg

Utmaningen verkar vara att hitta på ett system som ger lösenord som är svårt att gissa men samtidigt lätt att komma ihåg. Så, drumrulle please, här är mitt förslag:

 1. Ta en mening, till exempel följande slumpmässigt valda mening i min mejl: ”Rickard verkar vara en himla trevlig kille som skriver som en kung.”

2. Ta första bokstaven i varje ord: rvvehtksssek.

3. Gör några bokstäver stora: RvvehtkssseK. Det spelar inte så stor roll vilka, men välj något system, typ sista och första.

4. Lägg till en siffra eller två, till exempel din katts födelsedatum: RvvehtkssseK06

Resultatet är ett lösenord som är svårt att knäcka, lätt att komma ihåg, lätt att skriva in, lagom långt och så länge du justerar mitt system lite, rätt svårt att förutse.

Årets viktigaste uppdrag

Men jag är inte färdig, som bonus så ska jag ge dig årets viktigaste uppdrag, nämligen att se till att du inte använder samma lösenord till alla dina olika tjänster. Jo, det har du, alla gör det, ingen idé att förneka det. Vem orkar komma ihåg 100-tals olika lösenord. Men eftersom detta är en av de vanligaste sätten att hacka folks konton så erbjuder jag dig här ett enkelt knep.

För varje sajt som du registrerar dig på, lägg till sitens initialer/vokaler/konsonanter i slutet av lösenordet, till exempel RvvehtkssseK06EB (för Ebay), RvvehtkssseK06PP (för Paypal), RvvehtkssseK06FB (för Facebook) och så vidare. Men skriv inte ut hela sajtens namn eftersom det kan vara svartlistat och faktiskt rätt lättgissat.

Så, ge dig ut i cyberrymden och byt! Byt alla lösenord du kan hitta! Och ifall du hittar på ett ställe där du inte kan byta lösenord till exempel City Networks i övrigt utmärkta molntjänst så skicka ett mejl till supporten och berätta att detta är oacceptabelt. Alla tjänster måste låta användaren välja ett eget lösenord. Att skicka permanenta lösenord okrypterat i mejl är inte en säker lösning, oavsett ifall detta lösenord innehåller alla stora och små bokstäver och siffror.

Och till sist en varning till er med fingret på policyknappen. Vissa system envisas med att tvinga sina användare att byta lösenord med viss regelbundenhet, till exempel två gånger per år. Detta är ett otyg och bör avskaffas omedelbart. Om det inte finns något tecken på att lösenordet har blivit röjt, så behöver du inte byta. Ifall någon ändå tvingar dig att byta så är risken bara stor att du helt enkelt byter till något nytt lösenord och sedan skriver upp det. Varför skulle du lägga ner tid att lära dig ett lösenord du ändå måste byta om några veckor. Exempelvis ifall du efter en kväll på stan råkat tappa visakortet med kod på baksidan så är det kanske en bra idé att spärra kortet.

Etiketter: , , , , , Foto: Hammarby Sjöstad av Hans Kylberg (CC BY 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Rickard Dahlstrand Projektledare för Bredbandskollen

Rickard har varit med och byggt upp Bredbandskollen på IIS där du kan testa hastigheten på olika bredbandsuppkopplingar. Han har även utvecklat liknande mätsystem för att testa TCP/IP-nätverk åt olika företag samt arbetat som lärare i nätverksteknik.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Max 8 januari 2013, kl 16.30

    Om man vill ha ett unikt lösenord för varenda sajt/community/tjänst så är det här mitt tips:

    Använd ett generellt ord, där du lägger in versal på någon eller några av bokstäverna.
    Lägg till sajtens namn, antingen hela eller delar av den (3-4 första bokstäverna). Vänd på det och börja med versal)
    Lägg till något skiljetecken, till exempel #
    Avsluta med ditt lyckotal (till exempel 13), lägg till en nolla innan om det bara är en siffra.

    (Lösenordet här skulle till exempel kunna bli så här, om mitt generella ord är laxpaj och mitt lyckotal är 13: LaxpajSii#13 )

    Voila! Unikt, svårgissat och väldigt lätt att komma ihåg.

    Svara
  • Max 8 januari 2013, kl 16.31

    Aha, man kanske ska läsa klart också. Såg att du redan tipsat om unika lösenord. :)

    Svara
    • Rickard Dahlstrand
      Rickard Dahlstrand 8 januari 2013, kl 16.58

      Du är förlåten, ditt tips är rätt fiffigt också och alla vägar till en större lösenordsdiskrepans är goda vägar.

      Svara
  • Björn 8 januari 2013, kl 16.51

    Webbhotell som begränsar längden på lösenord är också pepparkaksgubbe.

    Svara
    • Rickard Dahlstrand
      Rickard Dahlstrand 8 januari 2013, kl 17.00

      Också obra, bör inte uppmuntras.

      Svara
  • Albert 9 januari 2013, kl 01.13

    Att skriva ner lösenord på papper är faktiskt en ganska bra idé. Jag ser inte att det ändrat sig de senaste åtta åren.
    http://www.schneier.com/blog/archives/2005/06/write_down_your.html

    Svara
    • Rickard Dahlstrand
      Rickard Dahlstrand 9 januari 2013, kl 11.45

      Haha, ja, det är faktiskt inte dumt tänkt att skriva upp lösenorden och spara dessa i plånboken. Men om du nu skulle hitta på ett lösenord som du faktiskt kommer ihåg så är det ju säkrare att inte skriva ner det alls. Är du dock som jag, lite tankspridd, så kan en lapp med koden på ett oförutsägbart ställe faktiskt vara en god idé.

      Svara
  • Anne-Marie Eklund Löwinder 10 januari 2013, kl 10.25

    Vi är sååååå överens!. Det viktigaste budskapet är trots allt – använd inte samma överallt och jag kan inte nog understryka det du säger att det är ett otyg att tvingas byta ett lösenord som är starkt och bra, om det inte är så att man misstänker att det blivit röjt. Även här har allas vår Bruce skrivit ett bra inlägg http://www.schneier.com/blog/archives/2010/11/changing_passwo.html
    Att skriva upp sina viktigaste lösenord på papper är absolut inte fel, så länge det inte går att koppla det till användarid och tjänst.
    Personligen så bryr jag mig aldrig om att spara lösenord till sajter där jag bara är någon gång ibland för att exempelvis tanka ner artiklar eller liknande. Då använder jag funktionen ”Glömt mitt lösenord” och vips får jag ett nytt. Den möjligheten har blivit mycket bättre på senare år. Undvik att låta datorn spara dina lösenord via webbläsaren. Då är det mycket bättre att använda någon sorts lösenordshanterare. Min gode vän Joachim Strömbergson har skrivit en artikel som publicerats i TechWorld där han testat 4 olika, 1Password, Passwordsafe, Keepass och Passwordmanager. Oavsett vilken man väljer så gör de sitt jobb och ditt liv lite enklare. Läs gärna: http://www.idg.se/2.1085/1.466191/4-losenordshanterare-i-test—sa-sakrar-du-koderna-effektivt

    Svara