Hoppa till huvudinnehåll
Bild
Hänglås brevid laptop
Foto: Pixabay
Länkstig

Lösenordsbytardagen – detta behöver du veta

​Hallå där Andrei Sabelfeld, professor vid avdelningen för informationssäkerhet på institutionen för data- och informationsteknik. Den 20 januari infaller den årliga Lösenordsbytardagen som ska påminna oss om att se över och byta inlogg till våra konton på internet. Regelbundet kommer rapporter om läckta inloggningsuppgifter, kapade konton och uppmaningar att välja ett säkert lösenord. Så hur håller man sina konton säkra på nätet?

Vad utgör egentligen ett bra lösenord?

Ett bra lösenord är både svårt att gissa för någon annan och svårt att upptäcka med en lösenordsknäckare men samtidigt lätt för användaren att komma ihåg. Verktygen för att knäcka lösenord brukar testa typiska mönster med hjälp av vanliga ord i olika språk, vanliga lösenord och lösenord som har läckt ut tidigare, så det gäller att tänka till.

Det finns olika mätare ("password meters") för att utvärdera lösenord, men jag tycker att man ska vara noga med att inte dela känsliga lösenord för utvärdering av en tredje part på nätet.

Bild
Andrei Sabelfeld, professor vid avdelningen för informationssäkerhet
Andrei Sabelfeld, professor vid avdelningen för informationssäkerhet
Foto: Anneli Andersson

Varför ska man byta lösenord?

Tyvärr händer det ofta att lösenordsuppgifter läcker ut. Listan är lång på företag och myndigheter, däribland Sony och Sega, där användarnas lösenord har läckt ut och spridits på nätet. Därför är det viktigt att byta lösenord ibland.

 

Hur ofta bör man byta?

Det är bra att byta lösenord då och då, men samtidigt ska man inte byta för ofta. Det är inte ovanligt med riktlinjer att byta lösenord till exempel varje 90 dagar, men det kan lätt bli förvirrande för användaren. En tumregel är att byta minst en, men gärna ett par gånger om året och gärna tänka igenom sitt val av lösenord så att man enkelt kommer ihåg det, även efter att man har bytt.

Säkerhetsfirman Splashdata har listat människors sämsta lösenord, baserad på miljontals läckta och spridda uppgifter. Listan för 2019 toppas av: ”123456”, ”123456789” och ”qwerty”. På fjärde plats kommer ”Password”. Vad säger du om sådana lösenord?

Tyvärr bevisar det att vissa användare ibland inte bryr sig om att komma på starkare lösenord. Dessutom visar detta att det inte är någon bra idé att lita på autentiseringsmekanismer som endast är baserade på lösenord.

Många använder samma lösenord till flera konton. Vad tycker du om det?

Problemet med samma lösenord till flera konton är att det räcker med läckta uppgifter om ett konto för att komma åt andra konton med samma lösenord. Olika konton kan ha olika säkerhetskrav. Här är e-postkontot speciellt viktigt. För om angriparen lyckas att ta sig in på ett e-postkonto så räcker det för att återställa lösenorden på alla konton som är kopplade till e-postadressen. Därför ska man framför allt ta lösenord till e-postkonto på allvar.

Vad anser du om att använda en lösenordshanterare?

En fördel är att lösenordshanterare är bra på att generera starka lösenord som användaren inte behöver komma ihåg. Samtidigt har några av lösenordshanterarna blivit utsatta för attacker. Därför ska man vara noga med att välja en säker lösenordshanterare. Det finns både inbyggda lösenordshanterare i de flesta webbläsare och separata lösenordshanterare som fungerar på olika enheter.

Sammanfattningsvis, vilka är dina tre bästa tips för mina nya lösenord idag?

  1. Försök undvika lösenordsbaserad autentisering i den mån det går. Använd gärna multifaktorautentisering, där man i stället för endast lita på ett enda lösenord presenterar olika bevis (faktorer) av sin identitet för att kunna logga in. Sådana faktorer kan handla om något man vet (till exempel ett lösenord) kombinerat med något man har (till exempel ett kreditkort) eller något man är (till exempel fingeravtryck). Multifaktorautentisering används redan flitigt av bland annat bankerna, som för sina internettjänster kräver att man antingen har en dosa med Pin-kod eller en registrerad smartphone med mjukvara (Mobilt Bank-ID), vilken i sin tur kräver Pin-kod.
  2. Om du behöver ett lösenord, använd gärna en säker lösenordshanterare.
  3. Om du måste komma på ett eget lösenord så finns det tekniker som kan förbättra säkerheten. Man får ofta rådet att använda versaler och speciella symboler, men det kan vara svårt att komma ihåg ett sådant lösenord. Då kan det hjälpa att komma på en minnesregel utifrån från en fras som är lätt att komma ihåg. Till exempel kan du plocka de första bokstäverna i orden från en rad i en favoritlåt och kombinera dem med ett par speciella symboler.
     

Text: Helena Österling af Wåhlberg, Chalmers
Foto: Pixabay/Anneli Andersson

Institutionen för Data- och informationsteknik

Institutionen för data- och informationsteknik är gemensam för Chalmers och Göteborgs universitet.