Bristande källskydd: Lösenord

Case: Lätt att hacka lösenord på nätet

Familjeliv, Spotify, Linkedin och Bloggtoppen är några av alla tjänster på nätet som de senaste åren fått sina medlemmars lösenord hackade och avslöjade. 2008 hackades lösenord till Aftonbladet av en grupp som kallade sig Vuxna förbannade hackare. En onsdagskväll i januari postade hackergruppen ett inlägg på nätforumet Flashback där man berättade att man hackat Aftonbladets intranät och gruppen lade även ut lösenord till journalisters inloggning i forumet. Detta ledde till att hundratals olika personer loggade in på flera journalisters konton och läste mejl och använde journalisternas e-post till att skicka ut falska meddelanden. Aftonbladet polisanmälde händelsen, men ingen kan svara på hur mycket källskyddat material som spreds eller hur många källor som avslöjades. Flera av journalisterna fick också sina Facebook-konton kapade på grund av att de använt samma lösenord till sin e-post på Aftonbladet som på Facebook. De upptäckte att deras profiler ändrades och att olämpliga bilder lades ut på deras sidor. Under hösten 2011 var det dags igen. Då nystades en stor hackerhärva upp som bara växte sig större och större när man avslöjade sajt efter sajt som hackats på lösenord. Totalt hackades 57 olika svenska sajter. De flesta var sociala nätverkstjänster som bloggtoppen och gratisbio.se men även nyhetssajterna dagensps.se, flamman.se och delar av norran.se drabbades. I samband med detta spreds riksdagsledamöters och kända journalisters lösenord på Twitter. Totalt uppskattades att 180 000 konton har drabbats. I januari 2012 kom 120 000 lösenord från en av Sveriges största mötesplatser, Familjeliv, på drift och i juni 2012 hackades Linkedin på 6,5 miljoner lösenord. År 2013 läckte 2,9 miljoner lösenord ut på nätet efter att Adobe hackades. 400 000 av dessa uppgavs vara svenska lösenord och 2014 hackades både Ebay och Gmail och över fem miljoner lösenord hamnade på drift. En billig försäkring är att aldrig någonsin använda samma lösenord på olika sajter utan ha unika inloggningsuppgifter för var och en.

Tips! Tvåfaktorers­inloggning säkrast.

Förmodligen använder du redan tvåfaktorsinloggning till exempel för din internetbank. Där används ofta säkerhetsdosor med kort tillsammans med en kod eller ett lösenord.
Det är en utmärkt idé att skydda även ditt e-postkonto med denna metod. Många mejltjänster har stöd för det. När tekniken är aktiverad använder du en engångskod tillsammans med ditt vanliga lösenord för att logga in. Mejltjänsten skickar engångskoden till dig antingen i ett sms eller via en särskild app

Många hävdar att det är ett måste med en kombination av stora och små bokstäver, siffror och specialtecken som #%&?+. Andra förespråkar långa fraser av vanliga ord. Om man använder den här tekniken är längden mycket viktig – 30 tecken kan vara ett riktmärke. Då blir det svårt för en angripare att testa sig fram, även om lösenordet är lätt för dig att komma ihåg. Undvik fraser som är kända, som ordspråk och litterära citat. Då är det bättre med en helt egen transkription av något uttryck på kalixbondska eller östgötska, eller bara en helt absurd mening. I en del sammanhang är längden på lösenorden begränsad. Om du exempelvis bara kan använda åtta – tio tecken är ”teckensoppa” nödvändig för att uppnå någorlunda säkerhet. Med så här korta lösenord är namn och ord ur ordlistor direkt olämpliga att använda. Program som används för att knäcka lösenord testar ofta igenom ordlistor på olika språk.

Att ta ett känt ord och byta några tecken – ”Linkedin” omgjort till ”1!nked!n” är också sådant som är lätt att överlista. Utgå från en mening som du själv kommer ihåg. Sedan förvandlar du den till oigenkännlighet. Välj exempelvis frasen ”Äntligen stod prästen i predikstolen”. Ta de två första bokstäverna i varje ord. Låt den första bokstaven i varje ord vara versal: ÄnStPrIPr. Nu gäller det att få in några specialtecken och siffror. Välj gärna helt galna associationer – det blir ju svårare för andra att lista ut. Man kan byta ut bokstaven Ä mot siffran 4, bokstaven P mot # och lägga siffror efteråt som berättar hur många gånger bokstäverna T och S fanns med i den ursprungliga frasen. Då blir lösenordet 4nSt#rI#rt*4s*3. Poängen är att du inte behöver komma ihåg ”4nSt#rI#rt*4s*3”, utan ”Äntligen stod prästen i predikstolen” – och några regler. Reglerna kan du använda jämt, men låt fraserna vara unika för varje ställe. Lösenorden bör aldrig sparas i klartext. Skriver du upp dem: betrakta dokumentet som en värdehandling.

Hur skulle du förvara 100 000 kronor? Knappast liggande löst på skrivbordet. Det finns krypteringsprogram som gör så att du får ett enda lösenord till en fil med många lösenord, men kontrollera att du kan lita på den som tillverkat det. Låt inte dina program som webbläsare och appar spara lösenorden i inställningarna. Om någon stjäl din mobil eller dator har den personen i så fall även omedelbar tillgång till alla dina program – och kan dessutom ändra lösenorden. Många webbsajter skickar ut nya lösenord till den e-postadress du har angett, ifall du varit glömsk. Ändra alltid detta nya lösenord till något som du själv väljer. Om någon snappat upp din e-post får annars den personen tillgång till sajten som lösenordet gäller för. E-postlösenord bör vara riktigt starka. Om någon får tag i dem kan han eller hon gå in och beställa nya lösenord i ditt namn på andra sajter. Till god lösenordshygien hör också att man byter dem med jämna mellanrum. Men för ofta är inte bra – då ökar risken att man förenklar dem, eller skriver upp dem, för att lättare komma ihåg dem. Några gånger per år kan vara ett riktmärke, eller om du använt det i ett osäkert sammanhang, som ett internetcafé. Lämna aldrig ut ditt lösenord. Radera som regel e-post som ber dig skicka lösenord eller som länkar någonstans där du ska logga in. Det är klassiska metoder för att lura av folk deras lösenord (så kallat nätfiske). Om du befinner dig på allmän plats bör du också tänka på att någon kan snappa upp ditt lösenord genom att kika över axeln på dig. Sitter du vid en publik dator bör du logga ut från tjänster och stänga webbläsaren innan du lämnar den.

Viktigt! Skaffa säkrare lösenord.

  • Minst tio tecken, men gärna mer än 14 tecken långt.
  • Ha aldrig samma lösenord på flera ställen.
  • Byt lösenord en till fyra gånger per år.
  • Byt lösenord när du jobbar med ett högriskprojekt.
  • Byt lösenord när du exponerat det genom att använda en oskyddad uppkoppling