Vi använder lösenord på så många platser idag. Många av oss blir irriterade över de ofta krångliga lösenordsregler vi måste använda när vi hittar på ett nytt lösenord. Det är inte lätt att komma ihåg alla, så många av oss gör det enkelt, vi kommer på ett bra lösenord och använder det överallt. Enkelt för oss, javisst, men också enkelt för en angripare. I den här artikeln går vi igenom de vanligaste misstagen med lösenord, hur svårt det är att knäcka ett lösenord och strategier för att hantera lösenorden.
Att använda samma lösenord överallt på alla tjänster vi nyttjar både privat och på jobbet är frestande, men det är samtidigt mycket farligt. Om en illvillig person kommer över dina inloggningsuppgifter på ett ställe så är det troligt att de prövar samma lösenord på andra ställen du kan ha ett konto. Om dina privata konton blir hackade så är det illa för dig personligen, om ditt konto hos din arbetsgivares blir hackat blir det dessutom mycket illa för dina kollegor och hela organisationen och organisationens kunder.
Det finns många sätt en angripare försöker komma över ditt lösenord. Ett av de vanligaste är nätfiske eller phising attacker. Det finns flera artiklar på PocketSafe som handlar om detta, men i korthet går det ut på att en angripare försöker lura till sig dina inloggningsuppgifter genom att utge sig för att vara en tjänst du litar på. När angriparen väl kommit över dina uppgifter för en tjänst så kommer den med stor sannolikhet försöka använda samma lösenord på andra tjänster, inte minst den e-postadress du har angett för ditt konto som återställningsadress. Om angriparen kommer över den så kan denne troligen begära återställning av de flesta av dina lösenord.
Ett annat vanligt angreppssätt är genom något som brukar kallas brute force. Det innebär att angriparen utnyttjar ett datorprogram som testar olika lösenord tills den hittar rätt. Vanligen används listor på de vanligaste lösenorden. Varje gång en sajt har hackats så har angriparen troligen kommit över alla användarkonton och lösenord. Det finns mängder av sådana listor att tillgå för de som försöker hacka. Om man tittar i dessa listor ser man att alltför många använder lösenord som 123456, password, admin eller abc123. Om du vill veta om din e-postadress funnits med i någon känd hackerattack som lyckats komma över konto uppgifter så kan du titta på en tjänst på webben som heter https://haveibeenpwned.com . Prova att skriva in din e-postadress där för att se om den varit inblandad i något känt läckage. Har den det, se till att byta lösenord omedelbart.
Angriparna kan även göra brute force attacker genom att testa sig fram med olika bokstavskombinationer. Om lösenordet är låt oss säga ABCD, dvs fyra tecken långt. Så börjar gissningen med A, B, C, D..., a, b,c,…, AA, AB, AC...AAA, AAB, ...,ABCD. Det tar en modern dator ungefär 9 millisekunder att knäcka det. Ju längre och ju mer komplext ditt lösenord är, desto längre tid skulle det ta. Om vi t.ex. tar vår lösenords policy på PocketSafe, minst 10 tecken varav minst en gemen, en versal, en siffra och minst ett specialtecken tar ca 80 000 år att knäcka på detta vis med dagens datorer.
Men hur ska du kunna komma ihåg så långa lösenord. Det fina är att du inte behöver göra det i någon större omfattning. Idag finns utmärkta programvaror som håller ordning på dina lösenord. Det finns bland annat inbyggt i de flesta moderna webbläsare. Det finns även separata program att köpa och det ingår ofta i antivirusprogram. Du ser du till att installera programmet på alla dina datorer, tablets och telefoner så kommer du alltid ha en uppdaterad och synkroniserad lista med lösenord oavsett vilken utrustning du sitter på för stunden. Det fina med dessa programvaror är även att de kan generera komplexa lösenord åt dig. Du behöver alltså inte klura ut dem själv.
Om du använder lösenordsprogram så är det i princip bara två lösenord du behöver sätta själv och behöver komma ihåg, det till lösenordsprogrammet för att låsa upp det, och det till ditt e-postkonto som används vid återställning.
Om du inte vill eller kan använda lösenordshanteringsprogram hur kan du tänka då. Här kommer några bra regler att tänka på:
- Använd inte samma lösenord privat som på jobbet
- Ha ett mycket starkt och helt unikt lösenord till ditt e-postkonto, minst de minimikrav vi har på PocketSafe
- Ha ett helt andra lösenord på övriga tjänster och möjligt gör dem unika, särskilt dina bankkonton/betaltjänster och dina sociala konton som Facebook, Instagram, etcetera.
- Om du har minsta misstanke att ditt lösenord har blivit komprometterat, byt det omedelbart. Byt även på alla andra platser du använt samma lösenord.
- Använd aldrig enkla lösenord som Password eller Abc!23.
- Ett tips kan vara att ta en text du känner väl, t.ex. refrängen från din favoritsång. Tänk sedan ut ett system som är enkelt för dig att komma ihåg, det kan t.ex. vara
- Ta ut varje ord i den första meningen i texten och skriv dem utan mellanslag emellan
- Låt varje ord börja med stor bokstav
- Efter sista ordet kan du skriva ett specialtecken t.ex. !, _, -, $, % eller liknande
- Avsluta med ett årtal som betyder mycket för dig, t.ex. bröllopsår
Om du följer exemplet ovan på vår nationalsång kan resultatet bli DuGamlaDuFriaDuFjällhögaNord%2021, vilket tar obeskrivligt lång tid för dagens normala datorer att knäcka. Samtidigt är det inte så svårt att komma ihåg.