kodlas

Så skapar du ett säkert lösenord

Det senaste intrånget i Sony Playstation visar att väldigt många läger ner väldigt lite tid på att skapa säkra lösenord. "123456" visade sig vara det allra vanligaste lösenordet – inte särskilt svårknäckt. Men hur skapar man egentligen ett riktigt säkert lösenord? Här delar jag med mig av mina bästa tips.

Den senaste i raden av undersökningar av våra lösenord är genomförd av det danska företaget Digicure och visar att vi användare fortfarande är för lata och ignoranta för att besvära oss med att ha lösenord som håller hög kvalitet och därmed är relativt säkra.

Detta trots alla de intrång i lösenordsdatabaser med bristfällig kryptering som har lett till att lösenordslistor knäckts och publicerats.

Tillhör du dem som skyddar dina uppgifter på internet med lösenord som ”123456″, ”password” eller ”winner”? I så fall bör du byta mot något mer fantasifullt.

Intrånget i Sony Playstation

Dessa fantasilösa kombinationer toppar nämligen listan med de lösenord som kom lösa efter det senaste intrånget i Sony Playstation och som Digicure tog tillfället i akt att granska och analysera. Enligt deras undersökning var endast 30 av de 128 000 lösenord som analyserades tillräckligt säkra. Här följer listan med de allra vanligaste:

1. 123456
2. 123456789
3. password
4. 12345
5. 1234
6. 12345678
7. 123
8. winner
9. seinfeld
10. 1234567

Det är ju inte så att fantasin flödar precis.

Vad som är tillräckligt säkert

Du känner kanske till den generella principen kring säkerhet? Att säkerheten är precis så hög som obekvämligheten.

Vill du ha en säker miljö så blir det lite mer obekvämt. För egen del så kan jag leva med det, jag har sett för många exempel på konsekvenserna av för låg säkerhet, men många, kanske de allra flesta, pallar inte. I grunden finns det inte heller något rätt eller fel, bara en bedömning av vilka risker man är beredd att ta.

Många tecken små…

Tillräckligt säkert innebär i det här fallet lösenord som är 9-14 tecken långa och innehåller både små och stora bokstäver, siffror samt specialtecken. Ett längre lösenord är bättre, och ett mycket längre lösenord är mycket bättre. Varje tecken ökar säkerheten flerfaldigt.

Dessutom ska lösenordet inte vara ett ord eller förkortning som finns i en ordlista och det bör inte enkelt kunna gissas. Och ett absolut nej är att ha samma lösenord på jobbet som i privata sammanhang. Eller att använda samma lösenord på allt för många sajter. Vill man vara bekväm går det alltid att klicka på ”Har du glömt lösenordet?” och göra ett nytt om det är en sajt som besöks mindre frekvent.

Så skapar du lösenordens Fort Knox

För att du ska ha en rimlig chans att skapa starka lösenord och komma ihåg vilket lösenord du använder till respektive tjänst så finns det en rad praktiska hjälpmedel.

Här är några tips på hur du kan skapa och komma ihåg starka lösenord:

1. Tänk på en mening du kan komma ihåg. Den meningen utgör basen för ditt starka lösenord eller din lösenordsfras. Det ska helst vara något som är ologiskt för andra men logiskt för dig. Vi tar som exempel ”min katt Sigge är tre år”.

2. Gör om meningen till ett lösenord. Byt ut vissa tecken enligt ett recept som du själv hittar på (och kan återanvända varje gång du ska skapa ett lösenord). Ett recept kan till exempel vara att alltid byta ut ordet ”är” mot bokstaven R med versal, alltid ange andra bokstaven i varje ord som versal, alltid ange numeriska tal med siffror, alltid skriva bokstaven s som §, alltid ange dubbelbokstav som [bokstav]*2 och så vidare. Komplexiteten ökar ju fler inslag av byten som receptet innehåller.

3. Med ovanstående lösenordsfras ”min katt Sigge är tre år” och föreslaget recept blir alltså lösenordet mInkAt*2§Ig*2eR3åR.

För att skydda dig bör du också minimera riskerna för att andra ska kunna läsa din e-post, läsa information som sparats på nätet eller att någon annan kan få tag på ditt lösenord. Se till att ha olika lösenord för varje tjänst. Undvik också att spara lösenord i klartext i mobiltelefonen, i fall den skulle bli stulen. Spara inte heller lösenord i klartext på datorn eller webbläsaren.

Är dina lösenord tillräckligt säkra?

Känner du dig det minsta osäker kan du testa kvaliteten på dina lösenord (alltså inte själva lösenordet) i PTS:s testverktyg eller The Password Meter.

Vill du ta hjälp att generera ett starkt lösenord finns det tjänster på nätet som du kan använda för att slumpa fram lösenord, till exempel den som finns på Random.org.

Det finns flera bra verktyg där du kan lagra dina lösenord för olika tjänster. De fungerar alla på ungefär samma sätt. Allt du behöver göra är att skapa och komma ihåg ett ensamt ”Master Password” för att låsa upp och komma åt din lista med användaridentiteter och lösenord. Här följer några exempel på sådana verktyg:

  • Password Safe är öppen källkod som är gratis att ladda ner och enkel att använda.
  • Keepass är också öppen källkod, även den gratis att ladda ner och enkel att använda.
  • 1Password har motsvarande funktioner och kan köpas för olika plattformar och enheter.

 

Läs mer på vår webb:

Läs mer på andra webbsidor:

Följ oss:

Etiketter: , , , , , , , , Foto: my new safe av squacco (CC BY-SA 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS

Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Thomas 7 september 2011, kl 14.45

    Varför fortfarande få folk att skapa lösenord som är svåra att komma ihåg utan att ge reella fördelar?
    ert exempel på ett väldigt säkert lösenord ”mInkAt*2§Ig*2eR3åR” är 18 tecken och ger en total entropi på ca 107 bitar för ett lösenord som är minst sagt extremt svårt att komma ihåg.

    Samma mening ”min katt Sigge är tre år” är 24 tecken med mellanslag och ger en entropi på cd 144 bitar

    Båda alternativen ger en enorm lösenordsrymd, medan det ena är nästan absurt enkelt att komma ihåg, och dessutom säkrare.

    De flesta moderna system tillåter både melanslag och långa lösenord, så varför inte lära folk att använda lösenordsfraser som ger rella säkerhetsvinster samtidigt som de faktistk är lätta att komma ihåg?

    Naturligtvis minskar man lösenordsrymden avsevärt genom att använda ord som finns i ordböcker, men med teckenmängden faller argumentet då entropin är såpass hög. Vill man vara kreativ finns det sätt att ändra stavning eller använda slanguttryck. Fortfarande lätt att komma ihåg, men enormt svårt att knäcka.

    Det går lite troll i hela säkerhetstänkadet iom den gamla låsningen vid 8 teckens lösenord. det är bara ett otyg som försvårar livet för användare.

    Svara
  • Thomas 7 september 2011, kl 14.52

    http://xkcd.com/936/
    riktigt enkelt exempel på ovanstående. =)

    Tack för bra blog i övrigt!

    Svara
    • Anne-Marie 7 september 2011, kl 20.04

      Jag håller med dig i princip. Exemplet i bloggposten är kanske lite i överkant :). Samtidigt beror det också lite på skyddsvärdet. Tyvärr finns det också applikationer som inte TILLÅTER så många tecken som du föreslår, och då får man använda fantasin.

      Svara
  • Per Axbom 8 september 2011, kl 16.27

    Tack för bra värdefulla insikter!

    Steget från lösenordet ”12345” till ”mInkAt*2§Ig*2eR3åR” är som en mindre rymdresa. Jag skulle gärna få lite bättre förståelse för hur säkert det blir med ”min katt Sigge är tre år” (som Thomas föreslår).

    Det finns en känd artikel i ämnet: ”The Usability of Passwords” från Baekdal. Hur ställer du dig till de exempel han radar upp? http://www.baekdal.com/tips/password-security-usability

    Han menar till exempel att lösenordet ”this is fun” i princip är omöjligt att knäcka.

    Ju krångligare vi gör lösenorden desto mer sannolikt är det ju att någon känner sig tvingad att skriva upp lösenordet på en lapp (eller i en mobil), och det är väl den svagaste länken när det gäller säkerhet…

    …och det faktum att många använder samma lösenord i många tjänster. Knäcker man ett så är allt vidöppet.

    Svara
    • Natanael L 20 januari 2012, kl 10.36

      ”This is fun” är en välkänd fras. Därför finns risken att den finns i de lösenordsdatabaser som hackers alltid testar först. Så nej, det är sjukt osäkert.

      3 ord som dessutom är vanliga ger inte hög säkerhet nog. Låt säga att dessa är bland de 1000 vanligaste orden – 1000^3 är bara en miljard varianter. En dator med ordboksattack kan knäcka det på sekunder.

      Svara
  • Rickard 8 september 2011, kl 17.14

    Ett bra lösenord är ett som man kommer ihåg och som ingen annan kan gissa sig till, kort och gott.

    Krav på stora och små bokstäver, skumma tecken ställer oftast bara till det för folk och gör att dessa skrivs upp på lappar.

    Min favorit är att ta en mening t.ex. ”detta är en finfin blogg som jag läser ofta” och sedan ta första bokstaven i varje ord: daefbsjlo blev det, släng med en siffra så har du ett lösenord som ser slumpmässigt ut och som du lätt kommer ihåg.

    Svara
    • Rolf K 12 september 2011, kl 16.36

      Rickard`s förslag är absolut bäst och bra att komma ihåg,enl.min mening

      Svara
    • Natanael L 20 januari 2012, kl 10.37

      Nej, förkorta INTE lösenorden!

      Svara
    • Natanael L 20 januari 2012, kl 10.39

      Nej, förkorta INTE lösenorden! I ditt fall blir det 9 tecken med små bokstäver, dvs 29^6. Det kan faktiskt knäckas av en dator med dubbla kraftfulla grafikkort på under en vecka! Om man tvunget ska korta ner dem, gör dem INTE kortare än 15 bokstäver!

      Svara
  • Fredrik 12 januari 2012, kl 16.31

    Vill tipsa om att LastPass, http://lastpass.com/, är ett ypperligt verktyg för att hjälpa dig att upprätthålla unika lösenord för olika webbsajter.

    Svara
  • MM 20 januari 2012, kl 10.19

    Trasig länk till PTS. Det finns inget https-server på http://www.pts.se.

    Svara
    • Anne-Marie Eklund Löwinder 20 januari 2012, kl 10.29

      Jag testade just och https://www.testalosenord.pts.se/ funkar. Det är två länkar bredvid varandra, den ena går till PTS förstasida, den andra till testverktyget.

      Svara
    • Elisabeth Nilsson
      Elisabeth Nilsson 20 januari 2012, kl 10.33

      Tack för att du uppmärksammade oss på detta. Har fixat det nu.

      /Elisabeth Nilsson, webbredaktör .SE

      Svara
  • Anders 20 januari 2012, kl 12.32

    Det vore ju bättre om man slapp lösenord eller hur?
    Kanske IIS kunde medverka till etablerandet av ett sånt alternativ :-)

    Svara
  • Edvard 23 januari 2012, kl 09.55

    Varför forsätter man rekommendera dessa lösenord?! Det är så urbota korkat!

    ”Mitt Säkra Lösenord1!” är brutalt starkt, och det bör denna omvärldsavskärmade ”säkerhetsexpert” veta om. Pajas.

    Svara
    • Anne-Marie Eklund Löwinder
      Anne-Marie Eklund-Löwinder 23 januari 2012, kl 11.00

      Det vet jag, men jag vet också att många applikationer och tjänster inte tillåter t.ex. mellanslag och/eller ställer krav på komplexitet. Budskapet är att hitta ett sätt att skapa lösenord som är lätta att komma ihåg men svåra att gissa. Lösenordsfraser är naturligtvis det bästa.

      Svara
      • Ola Jonsson 6 maj 2012, kl 23.06

        Det största problemet återstår dock som tidigare nämts.
        Olika siter har olika lösenordspolicys, viket innebär att även om man använde det bästa systemet så finns det alltid siter som inte godtar det system man avsett (tex mellanslag).
        Detta gör att metoder för att lagra lösenord per site är det bästa oavsett vilket system man bestämt sig för.
        Då infinner sig frågan, för att skydda sig från sin egen diskkrash, vilket lagringtjänst kan jag lita på om jag därför skall lagra mina lösen på nätet?
        Alla tjänster, Google, FaceBook mfl vill att man ger lösenorden till varandras tjänster för att komma över och synkronisera vänlistor och adresssböcker.
        Så hur lagra lösenord på nätet hos någon jag kan lite på? Kanske papper och penna kommer till pass igen då eller?

        Svara