Starka lösenord och lösenordshantering

Henrik Petterson 7 maj, 2020

Introduktion

Starka, unika lösenord – så slipper du att förlora åtkomst

Oavsett om du bara kollar in Facebook och E-posten lite då och då, eller är en inbiten websurfare med konton till i princip allt, så använder du lösenord. Lösenordet verifierar och identifierar dig som användare och genom det skyddar ditt konto och dess innehåll ifrån obehöriga. Eftersom lösenord är vägen in till tjänster så kan vi vara överens om att de är skyddsvärda.

Har du förresten koll på hur många tjänster du har?
Kolla av med hjälp av listan nedan:

Gmail

Facebook

Linkedin

Netflix

Spotify

Hotmail

Storytell

Ebay

Appstore

Office 365

Tradera

Blocket

Twitter

Google

Youtube

Blogspot

Hemnet

Cdon

WordPress

iCloud

Dropbox

Steam

Var det en, två eller kanske fem tjänster?
Fundera på vad det skulle det innebära om du förlorade tillgång till alla tjänster som du använder?

Visst kan du alltid skapa ett nytt konto till tjänsten och börja om från början, och självklart sparar du inga känsliga uppgifter på webben som konton, bilder och historik. Så vad gör det egentligen om någon får full åtkomst till bland annat din Facebook, E-post eller E-handelstjänster. Tyvärr handlar det inte bara om att skydda sin egen information. Andra problemet uppenbarar sig när en angripare försöker ta sig vidare. Med uppgifter från dina tjänster och e-post kan en angripare kartlägga ditt beteende, få tillgång till privat information och utnyttja sociala nätverk för att ta reda på var du arbetar, bor och vilka vänner du har.

Åtkomst till information går att fördjupa och delas in i lager. Så även om du inte har någonting om dig själv, så kan ditt e-postkonto vara en ingång (genom exempelvis en nätfiskeattack) till din dator, dina e-postkontakter och till din arbetsplats.

För att få en bättre överblick hur skyddet ser ut har jag delat in försvaret i tre separata delar eller åtgärder som stärker skyddet. De är starka lösenord, unika lösenord och utökade lösenord.

Starka lösenord

De flesta har hört hur viktigt det är att använda starka lösenord.

Grundregeln är att ju mer komplicerat ditt lösenord är, desto säkrare är det. I praktiken innebär det att ju fler tecken och specialtecken ett lösenord har, desto säkrare är det. Tabellen visar i genomsnitt hur lång tid det tar att knäcka ett lösenord genom att testa tecken för tecken tills man hittar rätt lösenord. Ju längre lösenord, desto säkrare är du.

Men det måste ju innebära att lösenordet förstamajdemonstration, är ett jättebra lösenord?
Det är nu det blir lite knepigare.

De flesta har idag ett ord eller namn som lösenord tillsammans med en siffra eller två.

Genom ordboksattacker kan separata ord testas och kombineras med namnlistor. Har du till exempel vintervägen9, Kaffebryggare eller en kombination till exempel fiskenemil så har du ett till synes långt och starkt lösenord, men som egentligen är svagt.

Använd heller inga starka med kända kombinationer, som exempelvis sommar2020. Här är en lista på de mest använda nationella och internationella lösenord.

Top 10 svensk lösenord

  1. 123456
  2. 12345
  3. knulla
  4. qwerty
  5. 666666
  6. hejsan
  7. stilet
  8. 123456789
  9. 12345678
  10. password

Top 10 internationella lösenord

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 111111
  6. 12345678
  7. abc123
  8. 1234567
  9. password1
  10. 12345

Unika lösenord

Starka lösenord i all ära, men vad spelar det egentligen för roll om alla redan vet om ditt supersvåra lösenord på 23 tecken?

På Darknet finns idag databaser med användarkonton och lösenord som går att köpa till ett relativt överkomligt pris. De här inloggningsuppgifterna kommer ifrån tjänster som antingen råkat läcka uppgifter eller helt enkelt blivit hackade.

Oftast är inloggningsuppgifterna i en läckt databas din e-post som användarnamn och ett lösenord. Så, vad händer om du har samma lösenord till alla tjänster?

Precis, en angripare kan enkelt ta sig från ditt hackade konto till din e-post och vidare till dina e-handelstjänster, sociala nätverk och vidare. På Linkedin står det var du jobbar och har du samma lösenord på jobbet som hemma så är risken väldigt stor att angriparen försöker få åtkomst till företagets system – genom dig.

Ett tips är att använda:

  • Ett unikt lösenord som du använder bara till din e-post.
  • Ett unikt grundlösenord med en variation för varje viktig tjänst
  • Ett unikt lösenord för alla oviktiga tjänster

På så sätt kan du hålla isär dina konton och därmed minska risken att någon av misstag testar din e-post och ditt lösenord på en tjänst.

Utökade lösenord

Med tvåfaktorsautentisering, eller tvåstegsinloggning kan du utöka ditt lösenord vilket ökar skyddet avsevärt.  Det innebär helt enkelt att inloggningen kräver en extra verifiering för att logga in. I praktiken handlar det om att du får en kod på SMS eller i en app när du försöker logga in. Den koden måste du komplettera ditt lösenord med för att logga in. Det innebär att angriparen måste ha tillgång till din enhet och ditt lösenord för att få åtkomst till systemet som du försöker att logga in till.

Lösenordshanterare är att rekommendera. Med en lösenordshanterare som exempelvis 1password, Dashlane eller Keeper kan du automatiskt generera starka och säkra lösenord som du lagrar säkert i deras system på en och samma plats. Det enda som du behöver veta är ditt huvudlösenord för att komma åt alla andra lösenord.

Jag vill också passa på att understryka vikten av att inte ladda ner okända programvaror ifrån nätet. Råkar du ladda ner en keylogger så spelar det ingen roll hur starkt ditt lösenord är. Keyloggern registrerar och sparar exakt vilket fönster du arbetar i, vad du klickar på och vad du skriver på tangentbordet. Informationen skickas sedan antingen löpande eller klumpvis till en angripare.

Sammanfattningsvis, använd ett starkt lösenord tillsammans med tvåfaktorsautentisering och låt bli att använda samma lösenord överallt till alla tjänster, så kan du vara ganska säker på att du är säker.

Henrik Petterson
Senaste inläggen av Henrik Petterson