Låt oss bena ut det här med lösenord en gång till

Lösenordshelvetet. Så kallade de det på SVT Godmorgon när vi skulle prata om lösenord och om den funktion som SVT lanserade häromdagen. I den kan svenska internetanvändare testa om deras e-postadress funnits med i någon av de senaste årens många lösenordsläckor. (Vilket i och för sig inte behöver betyda att man har blivit hackad, men det är en annan historia.) Låt oss bena ut det här med lösenord en gång till.

Det finns några vanliga sätt för en angripare att försöka komma åt dina användarkonton. Några av dessa handlar om vilka lösenord du väljer men det finns andra, så låt oss ta en titt på några anledningar.

Lösenordet är för enkelt

Du bör försöka se till att ditt lösenord inte är lätt att gissa. Vi vet alla att lösenord skyddar saker som är värdefulla för oss, men det hindrar inte att de vanligaste lösenorden konsekvent är för svaga som till exempel:  password, 123456, qwerty, fotboll och så vidare. Ta en titt på någon av de många 100 i topp eller 1000 i topp lösenordslistorna som publicerats för att se vilken form de vanligaste tar och välj något annat än det som förekommer där.

Där kan även den som utvecklar webbtjänster och annat användbart som kräver inloggning dra ett strå till stacken genom att svartlista de vanligaste lösenorden i systemen. Dessa finns bland annat på topplistor som presenteras varje år, och listan ändrar sig inte mycket över tiden. Svartlistning gör det tekniskt omöjligt att använda lösenord som förekommer på listan upp till en viss position och styr användaren med tekniska kontroller mot bättre val. Ett annat tips är att presentera styrkan  hos användarens val med hjälp av en visuell lösenordsstyrkemätare. Det har visat sig vara en effektiv metod för att få användare att välja ett säkrare lösenord.

Någon annan är dålig på att skydda din information

Det förekommer ofta nyheter på nätet om kriminella som knäcker ett stort antal lösenord från webbplatser som i sin tur har misslyckats med att skydda dem ordentligt. Om du återanvänder samma lösenord på flera platser och brottslingar kommer över en lösenordsdatabas som de lyckas knäcka, kan de försöka med samma lösenord på andra webbplatser som du använder. Återanvänd inte samma på flera platser.

Skadlig kod

En typ av skadlig kod som är relevant här är Keyloggers. Det är en typ av program som, när det en gång kommit in i ditt system, loggar alla tangenttryckningar du gör, inklusive lösenord, och skickar dem till en angripare. Naturligtvis kommer det att knäcka vilket lösenord som helst hur starkt det än är. Det bästa försvaret här är att hålla programvaror aktuella och uppdaterade och att inte klicka på länkar hur som helst.

Slumpmässiga ord kan vara bättre än teckensoppa

Uppfattningen om att (relativt) långa och komplicerade lösenord är det bästa sättet att stoppa kriminella från att knäcka ditt lösenord är kanske inte nödvändigtvis sant. Hyfsat långa OCH komplicerade lösenord är inte nödvändigtvis det bästa alternativet av ett antal skäl.

Det handlar inte bara om matematik, det är viktigt, men det underlättar inte för användarna. Vi vet redan att det är riktigt, riktigt svårt för en användare att komma ihåg mängder av komplexa, unika lösenord. Vad som händer är att vi försöker göra det lite enkelt för oss genom att använda strategier som tyvärr är välkända för cyberbrottslingar och som de kan utnyttja för att hacka våra konton, vilket de också gör.

Så, ironiskt nog, att kräva relativt långa och komplicerade lösenord av användare spelar ibland bara angriparna i händerna. Ett av de vanligast förekommande lösenorden är password. Ett vanligt sätt att försöka göra det mer komplext är att substituera vissa tecken, till exempel skriva Pa55word!. Ok, det följer möjligen reglerna för en webbplats, men det är fortfarande ett dåligt lösenord eftersom det är ganska lätt att gissa.

Lösenord ska vara lätta för dig att komma ihåg och svåra för andra att gissa.

Tre till fem väl valda slumpmässiga ord kan vara ganska enkelt att komma ihåg men är definitivt inte lätt att gissa. Det ger oss en bra kompromiss mellan skydd och användbarhet.

Knäcka hashsummor i lösenordsdatabaser?

När du väljer ett lösenord på en sajt som är hyggligt aktsam om dina data kommer de inte att lagra ditt lösenord i en form som kan läsas direkt, alltså i klartext. De kommer först att behandla det med en matematisk funktion som kallas hashning, och som förvandlar läsbara lösenord till vad som till synes är rappakalja. Detta är en lösenordhash och det är den som webbplatsen lagrar. Den smarta saken med hashning är att det som regel är mycket svårt att bakvägen från en hashsumma räkna sig tillbaka till lösenordet.

När du som användare gör återbesök på en webbplats och loggar in genom att ange användaridentitet (oftast din e-postadress) och ditt lösenord beräknas hashen igen och jämförs med den som redan lagrats. Om de matchar kommer du in.

Det förutsätter dock att sajten använder en bra algoritm med salt, ett slumpmässigt tillägg till lösenordet som gör det svårare för en lösenordstjuv att lista ut det riktiga lösenordet. Hur många gör det? Och hur tar du reda på om det är så eller inte. Därför ska du skydda dig och din information genom att använda unika lösenord för alla viktiga tjänster. Återanvänd inte. Det ger kortvarig värme, precis som att pinka i byxorna.

På norska blir det förresten en skapligt bra lösenordsfras. Det gir kort varme å pisse i buksene.

Vill du veta mer?

Då föreslår jag att du läser vår rapport Lösenord för alla.

Etiketter:
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS

Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.