Lösenord och tvåfaktorsinloggning

Tänk att du ska logga in på alla sajter du någonsin har registrerat dig på. Hur många lösenord skulle du behöva komma ihåg? Fem? Tio? Hundra?

Lösenordet är fortfarande det i särklass vanligaste sättet att identifiera sig på internet. Ändå är så gott som alla säkerhetsexperter överens – lösenord är ingen bra lösning och borde ersättas så snart det bara går. Problemen med dem är många. Knappt någon kan komma ihåg alla sina lösenord. Gång på gång kommer hackare över stora databaser med vanliga människors lösenord och kan logga in på deras konton.

Vi ska snart komma in på vilka alternativ som finns, men det är lika bra att vi på en gång slår fast en sak: Lösenorden kommer finnas kvar ett bra tag framöver. Därför är det viktigt att lära sig använda dem på rätt sätt. Vi börjar med själva ordet – hur ska ett bra lösenord se ut?

Att välja ett bra lösenord

Lösenord ska vara långa, svåra att gissa och innehålla mer än vanliga bokstäver. Låter det som ett recept för lösenord som ingen människa klarar av att komma ihåg? Jo, så kan det vara. Men det finns knep som gör det enklare. Här går vi igenom hur man kan välja ett lösenord som är svårare för en angripare att komma över. Se till att läsa guiden ända till slutet, för lösenordet vi börjar med är ett riktigt dåligt exempel.

Så här ser många lösenord ut, kanske speciellt för en hundintresserad: rottweiler. Vad är då problemet? Vi börjar med längden. Ett vanligt råd är att lösenord ska vara minst åtta tecken långa. Det är en bra tumregel, men det finns egentligen ingen anledning att inte gå längre än så. Väljer du rätt så är det lika enkelt att komma ihåg ett lösenord som är femton tecken långt. Kom ihåg – ju fler bokstäver och andra tecken du väljer desto mindre är risken att någon främmande kan komma in på ditt konto.

Den andra regeln är att det ska vara svårt att gissa. Här finns några regler som alla bör följa stenhårt: Ditt lösenord ska aldrig vara ett vanligt ord eller namn. Det största misstaget är att använda ett ord som är starkt förknippat med dig själv – namnet på ett husdjur eller en släkting, ditt eget efternamn eller liknande. Sådana är lätta att gissa sig till eller hitta på nätet. Kanske har du skrivit om ditt husdjur på Facebook eller bloggat om din familj? I så fall tar det inte många sekunder att identifiera ett par namn att prova som lösenord.

Med andra ord är rottweiler ett dåligt lösenord, speciellt om du har pratat om ditt intresse för denna hundras på nätet. Även om du inte skulle ha gjort det så finns ordet i ordlistor, vilket förenklar gissningsarbetet avsevärt. (Varför ordlistor gör en attack enklare går vi igenom i nästa avsnitt.)

Ett sätt att både göra lösenordet längre och slippa problemet med ordlistor är att helt enkelt lägga till fler ord. Det behöver inte göra lösenordet mycket svårare att komma ihåg:
minhundrottweilern
(Tänk “min hund rottweilern”, men ofta får lösenord inte innehålla mellanslag.) Vips så är vi uppe i 18 bokstäver, vilket är betydligt bättre.

Den tredje regeln gäller vilka bokstäver och tecken man använder. Här gäller samma princip – ju svårare det är att gissa desto säkrare är lösenordet. Fler sorters tecken betyder fler möjliga varianter av lösenordet och därmed ett klurigare gissningsarbete. Ett första steg är att blanda stora och små bokstäver. Det finns många sätt att göra det:
MinHundRottweilern
MinHundROTTWEILERN
minHUNDrottweilern

Till sist – ett starkt lösenord innehåller inte bara bokstäver, utan också siffror och specialtecken som till exempel €, # eller &. Visst är det bra att välja tecken eller siffror som är lättare att komma ihåg, men undvik de mest uppenbara som till exempel ditt födelseår.

Som vän av rottweilerhundar kanske man vet att den registrerades av den amerikanska kennelklubben år 1931.
minHUNDrottweilern1931
…eller varför inte:
minHUND1931rottweilern
Att knäcka ett lösenord är aldrig helt omöjligt – men man kan göra det svårare för angriparen. Med ett lösenord av den här typen har du åtminstone inte gjort det onödigt enkelt, och dessutom slipper du ett obegripligt lösenord av typen 8F€€Fv0Z2”€.

Men varför behöver man krångla till det så här? För att begripa det måste man förstå hur en attack går till.

Varning!

Enkla knep kan genomskådas

Ett vanligt knep för de som vill göra lösenord svårare att genomskåda är att ta ett vanligt ord och byta ut bokstäver mot siffror som liknar dem. Telefon blir t3l3f0n och så vidare. Men eftersom knepet är välkänt kan angriparen ställa in sitt knäckningsprogram för att testa dessa varianter.

Att göra varje begynnelsebokstav i lösenordet stor är lockande, eftersom det är enkelt system att memorera. Men av samma anledning är det enklare att gissa sig till. Försök hitta ett system som inte genomskådas lika lätt.

Så knäcks ett lösenord

Vi har nu visat skillnaden mellan ett lättknäckt och ett svårknäckt lösenord. Men varför är skillnaden så stor? Förklaringen ligger i de två vanligaste metoderna som angripare kan använda.

Man talar ofta om att “gissa lösenor- det”. Visst kan det hända – det är därför man aldrig ska välja till exempel sitt barns namn som lösenord. Men oftast handlar det om två automatiska metoder: Dels en så kallad ordlisteattack och dels metoden brute force, vilket kan översättas till “rå- styrka” på svenska.

Du kanske har sett nyheter om att listor med lösenord har läckt från stora webbplatser. Ibland talas det om att lösenorden som har läckt är krypterade – och det kan ju låta tryggt. Det som är krypterat borde väl vara säkert?

Nej, faktiskt inte. För när angriparen väl har kommit över en läckt lösenordslista så kan hen använda speciella program för att gissa lösenord i blixtsnabbt tempo. Det kan liknas vid att försöka logga in flera miljarder gånger i sekunden, eller ännu oftare. Men de flesta sajter skulle stänga en angripare ute efter ett par misslyckade försök. För den som har kommit över listan med krypterade lösenord finns inga sådana begränsningar.

Vi börjar med att förklara brute force-attacken. Principen är simpel: Gissa varje tänkbart lösenord. Säg att vi utgår från att lösenordet som ska knäckas är mellan tre och åtta tecken långt. Då kan den första gissningen vara “aaa” som följs av “aab” och sedan “aac”. När alla kombinationer av tre bokstäver är testade är det bara att gå vidare till de med fyra bokstäver. Och så vidare. Som du förstår blir det en hel del gissningar, men en kraftfull dator kommer klara av alla möjliga kombinationer på några sekunder.

Men om angriparen inte bara behöver gissa mellan kombinationer av bokstä- ver, utan också vilka som ska vara versala och vilka som ska vara gemena? Då blir alternativen fler – och därmed krävs fler gissningar. Detsamma sker när du lägger in specialtecken eller gör ditt lösenord längre.

Ordlistan då? Att knäcka ett lösenord med hjälp av ordlista är den allra enklaste genvägen. När man ska knäcka ett lösenord testar man ofta först alla ord man har i en ordlista. De innehåller de vanliga ord, namn och annat som många väljer som lösenord. Det kan röra sig om hundratusentals exempel, men 100 000 gissningar är mycket litet i sammanhanget. En dator klarar det på bråkdelen av en sekund.

Kort sagt: Om du väljer ett vanligt ord kan du räkna med att lösenordet kan knäckas omedelbart. Låt oss ta några exempel:

  • fido: Ett riktigt dåligt lösenord. Kan mycket väl finnas i angriparens lösenordslista, och även om det inte gör det så knäcks det på bråkdelen av en sekund.
  • rottweiler: Något bättre, eftersom det är längre. Men även detta finns i ordlistor.
  • minhundrottweilern: Redan här börjar det se riktigt bra ut. Förutsatt att angriparen inte har några ledtrådar om lösenordets längd eller vad det består av så är lösenordet svårt att gissa sig till.

Men sådan tur har man inte alltid. Ju fler av råden som nämns här ovan desto säkrare blir ditt lösenord. Om du byter från minhundrottweilern till minHUND1931rottweilern så ökar antalet möjliga kombinationer ytterligare.

Att knäcka ett långt lösenord med en vanlig hemdator skulle ta flera miljoner år om angriparen skulle vara tvungen att testa alla tänkbara alternativ. I praktiken är det sällan så. Genom sofistikerade metoder, till exempel så kallade regnbågstabeller, kan antalet gissningar som behöver genomföras sänkas dramatiskt. Därmed knäcks lösenordet snabbare – ännu ett gott skäl att använda ett långt och svårknäckt lösenord.

Samma lösenord överallt?

Du har säkert konton på nätet som skulle kunna bli hackade utan att det gör speciellt stor skada. Till exempel inloggningen till en filmtjänst – att ditt lösenord dit knäcks skulle bara innebära att någon kan se film på din bekostnad. Värre saker kan hända.

Många resonerar så och väljer därför samma lösenord på en mängd sajter. Vad de inte tänker på är att om lösenordet läcker från en av dessa sajter så kommer angriparen åt dem allihop. Det är nämligen enkelt att testa om lösenordet som visade sig fungera på en webbplats även gäller på en annan.

Värst är det om man har använt samma lösenord på “skräpsajter” och för konton som är viktiga – till exempel din e-postadress. I samband med att lösenord läcker ut läcker ofta även e-postadressen eftersom den används som användaridentitet. Säg att det är en Gmail-adress. Då är det lätt för angriparen att gå till gmail.com och försöka logga in med lösenordet som redan är på villovägar.

Därför är det viktigt att inte använda samma lösenord och e-postadress överallt. Börja med att identifiera dina viktigaste konton.

Din e-postadress hör till dem, inte minst eftersom den kan användas för att skapa nya lösenord på andra sajter. Det är ju dit mejlen kommer när du har glömt ett lösenord och ber att få ett nytt. Med anlösenord och tvåfaktorsinloggning dra ord kan den som har tillgång till ditt e-postkonto snabbt ta kontroll över varenda konto du har på nätet.

För många har Facebook blivit lika viktigt som e-post, och den som använder Twitter flitigt bör ha ett unikt, starkt lösenord även där. Hur listan över viktiga konton ser ut varierar från person till person. Vilket konto skulle det vara värst om någon utomstående tog över?

Här är det lätt att tänka “ingen bryr sig väl om mitt konto”? Men faktum är att just Facebookkonton är högvilt för bedragare, och det handlar inte om att de är nyfikna på dina meddelanden.

En vanlig bedrägerityp bygger nämligen på att en angripare tar över ditt Facebookkonto. Med det under kontroll kan hen starta en chatt med en av dina vänner, där hen utger sig för att vara du. Historien bedragaren diktar upp brukar handla om att du är utomlands och har blivit av med plånboken. Därför ber bedragaren om ett snabbt lån, som ska betalas direkt till utlandet via till exempel Western Union. Men i själva verket är det bedragaren som plockar ut pengarna, allt på grund av att lösenordet till ditt Facebookkonto ham nade på villovägar. När vännen väl upp- täcker att det inte var dig hen pratade med är det i regel för sent.

Med andra ord – undvik till varje pris att använda samma lösenord överallt. Klarar du inte av att ha ett lösenord för varenda sajt du har registrerat dig på, ha åtminstone unika på de viktigaste.

Programmen som hjälper dig

Ju bättre du blir på att välja lösenord desto fler får du att hålla reda på. Det får många att snart falla tillbaka i att använda samma lösen överallt. Men det finns en rad program som kan hjälpa dig.

De kallas lösenordshanterare och bygger på en enkel princip: Hela din samling lösenord ligger sparade i en krypterad (och därmed oläslig) databas som skyddas med ett lösenord. Som du förstår är detta lösenord det viktigaste du någonsin kommer välja – med hjälp av det får man ju tillgång till alla lösen du har sparade.

Ett lätt sätt att lösa problemet är att låta webbläsaren spara lösenord. Det förenklar inloggningen, men innebär också att alla som kommer åt din dator kan logga in lika enkelt. Det har till och med visat sig möjligt att plocka fram de sparade lösenorden ur webbläsaren, vilket kan kännas oroande.
Om du istället vill använda ett separat program för att hantera lösenord finns det många alternativ, varav några syns i listan här intill.

Två faktorer – framtidens inloggning

Säkerhetsexperter har gång på gång dömt ut lösenorden som en förlegad säkerhetsmekanism. Men vad ska då användas istället?

Syftet med en inloggning är att kontrollera att bara rätt personer har åtkomst till informationen som söks, exempelvis den du har på ditt e-postkonto. För att få ett starkare skydd kan man komplettera användarnamn och lösenord med fler parametrar. Exempelvis någonting som berättar vem användaren är (fingeravtrycksläsning, röstanalys, ögonskanning) eller någonting som användaren har (ett smart kort eller en säkerhetsdosa).

Tanken är att lösenordet ska kunna hamna i händerna på en angripare utan att hen kan logga in på ditt konto. På samma sätt kan man tappa bort säkerhetsdosan utan att den som hittar den kan logga in.

Låter det märkligt? Förmodligen använder du redan tvåfaktorsinloggning, till exempel för din internetbank. Där används ofta säkerhetsdosor med kort tillsammans med en kod eller ett lösenord.

Det är en utmärkt idé att skydda även ditt e-postkonto med denna metod. Många av de stora mejltjänsterna har redan stöd för det. Ofta behöver du inte ens en extra säkerhetsdosa utan använder mobilen. När tekniken är aktiverad använder du en engångskod tillsammans med ditt vanliga lösenord för att logga in. Mejltjänsten skickar engångskoden till dig antingen i ett sms, eller via en särskild app.

inlogg
Tvåfaktorsinloggning gör webbmejl och andra tjänster betydligt säkrare att använda.

Låter det krångligt? För att göra det enklare behöver du inte ange engångskoden vid varje ny inloggning, om den sker från samma dator. Hur ofta du måste skriva in ett nytt engångslösenord varierar mellan tjänsterna.

Tips!

Enkla knep kan genomskådas

Det finns en uppsjö program som hjälper dig att hantera dina många lösenord. De flesta fungerar som krypterade databaser där du lagrar lösenorden. Tänk dock på att du verkligen måste kunna lita på den tjänst du väljer. Om möjligt – välj ett program med öppen källkod, så experter har möjlighet att granska den i jakt på säkerhetsluckor. Vissa program lagrar lösenorden på sina egna servrar, eller ”i molnet” som det ofta kallas. Här finns det anledning att vara skeptisk, eftersom du måste lita på att de skyddar sina servrar tillräckligt noga. Oavsett vilket du väljer så finns det några saker du bör tänka på.

1. För det första är det bra om programmet finns till både Windows och Mac, och kanske Linux om det är något du överväger. Skulle du byta dator så är det praktiskt att kunna ta lösenorden med dig, utan att behöva skriva av dem ett och ett.

2. För det andra fungerar många av dem också på mobiltelefoner. Så länge de säkras med bra lösenord är det en utmärkt idé, eftersom du då kan plocka fram de lösenord du behöver även när du inte sitter vid datorn, speciellt om du har sparat mer än bara lösenord till webbplatser. Många använder samma program för till exempel portkoder.

3. För det tredje – och detta är viktigast av allt – välj ett program som är betrott. Ladda bara hem det från den officiella webbplatsen och sök gärna runt efter information om eventuella säkerhetsrisker.

ipassword
Lösenordshanteraren 1Password kräver huvudlösenordet för att öppnas.

Tips!

Mejltjänsterna med stöd för tvåfaktorsinloggning

Gmail

Aktivera funktionen i dina kontoinställningar. Sedan anger du ditt telefonnummer för att få engångskoder skickade via sms, eller laddar hem appen Google Authenticator till Android eller Iphone.

Outlook (tidigare Hotmail)

Även Microsoft har en speciell app för sin tvåfaktorsinloggning.

Viktigt!

“Skriv aldrig ner ditt lösenord”

Att skriva sitt lösenord på en papperslapp och gömma det under tangentbordet beskrivs ibland som ett klassiskt misstag. Där lär ju den som vill stjäla det leta allra först.

Visst är det ett dåligt gömställe, och programmen för lösenordshantering vi nämner här ovan är betydligt bättre alternativ.

Men faktum är att Bruce Schneier, en av världens främsta säkerhetsexperter, argumenterar för att man visst kan skriva upp viktiga lösenord på en papperslapp och ha den i plånboken. Hans argument bygger på två delar: Dels att starka lösenord i dag måste vara så starka att de blir närmast möjliga att komma ihåg. Dels att vi är vana vid att hantera små papperslappar säkert i våra plånböcker. Det är trots allt samma ställe som vi använder för sedlar.