Hur du skapar och hanterar säkra lösenord
När det handlar om den personliga säkerheten är dina lösenord helt centrala. Med rätt lösenord skyddar du din integritet på alla plattformar och i alla program. Problemet är att det lätt blir många lösenord att hålla koll på. Detta brukar för de allra flesta leda till två saker:
- Att de använder samma lösenord på alla ställen. Detta är en högst osäker metod motsvarande att ha en nyckel till alla ens lås-hemmet-bilen-jobbet. Skulle någon komma över detta enda lösenord så kan de följaktligen komma in i alla system med potentiellt mycket skadliga resultat.
- Att de ständigt glömmer lösenord. Den som glömmer lösenord måste ägna sig åt tidskrävande och irriterande återställning av lösenord. Något som i sin tur leder till att de måste hitta på än fler nya. Snart är mängden eller förbrukade lösenord som de går och håller i minnet ohanterligt.
Hur du löser detta problem och skapar säkra lösenord är fokus för denna lektion. Lektionen består av fem delar:
- Hur knäcks lösenord och varför?
- Alla lösenord är jämlika, men några är mer jämlika än andra
- Tekniska system som hjälper dig att hålla ordning på alla dina lösenord.
- Principer för hur du löpande kan skapa säkra och unika lösenord som du ändå kommer ihåg.
Hur knäcks lösenord och varför?
Lösenord i digitala system knäcks av samma skäl som lösenord alltid har knäckts, för att komma åt din personliga information. I vissa fall kanske detta inte leder till så stora konsekvenser (exempelvis att någon kan se din köphistorik och vilka favoritprodukter du har i din lokala onlinebutik för blommor) medan i andra fall kan konsekvenserna bli förödande (om någon kommer åt kontouppgifter eller ges möjlighet att ta över din identitet – mer om detta längre ner i lektionen). De som kommit över dina uppgifter kan också försöka använda dessa för att sedan försöka komma åt andra system och lösenord och på så sätt nysta upp din personliga säkerhet helt. Hackare är duktiga på att utnyttja mer än tekniska svagheter i system, hackare kan också använda sig av så kallad ”social hacking” som du kan läsa mer om om på wikipedias sida om Social hacking. Exempelvis kan de, om de knäckt ett lösenord och kommit åt några uppgifter om dig sedan ringa en verksamhet eller tjänst och med hjälp av informationen de skaffat sig på ett framgångsrikt sätt låtsas vara du och på detta sätt komma åt mer känsla uppgifter. Hopkopplingen av alla tekniska system gör dig alltså mycket sårbar.
Det finns olika sätt att få tag på användares lösenord:
- Hackare kan komma åt dina lösenord genom att använda tekniska brister i själva systemen. Detta är helt bortom din kontroll som användare men lyckligtvis är de flesta plattformar av idag mycket säkra.
- Hackare kan, baserat på uppgifter du lämnar ut offentligt om dig själv, ”gissa” sig fram till ditt lösenord. Exempelvis kan de använda sig av de vanligaste lösenorden (”lösenord”, ”12345”, ”5555” och liknande.) eller försöka med namnet på dina barn eller ditt husdjur (som du offentligt delat i sociala medier osv.). Lyckligtvis har användare, i takt med att den digitala kompetensen höjts och att kraven på nivån av lösenord i olika plattformar skärpts, blivit bättre på att undvika dessa uppenbara fällor.
- Hackare kan använda ”brute force”. De använder då datorers stora processorkraft för att systematiskt testa alla tänkbara kombinationer av bokstäver (och/eller siffror) för att hitta ditt lösenord. Detta kan tänkas ta lång tid. Men med tillgång till starka datorer eller serier av sammanlänkade datorer med gemensam processorkraft kan miljontals gissningar göras varje sekund. Om de som försöker knäcka ditt lösenord tillhör en informationssamlande myndighet (SÄPO, MUST, NSA etc.) är processorkraften så formidabel att det är svårt att föreställa sig. Av denna anledning är längden på ett lösenord av faktisk betydelse. Ju längre lösenord, ju fler gissningar krävs det innan det lösenordsknäckande programmet hittar rätt. I många fall är systemen också mycket smartare än att bara stapla slumpmässiga kombinationer av bokstäver på varandra. Med hjälp av en så kallad totalsökning använder de sig av ordböcker och algoritmer som lär sig av hur andra användare gör (vi är trots allt alla mänskliga och även den fiffigaste av oss tenderar att tänka ganska mycket som alla andra) och kan på detta sätt vara mycket mer pricksäkra i sin jakt.
Alla lösenord är jämlika, men några är mer jämlika än andra
Som nämndes i inledningen av lektionen är det faktiskt skillnad på lösenord och lösenord. Några lösenord är i praktiken av större vikt än andra. Lösenord som skyddar dig från intrång i finansiella system (exempelvis din bank) är viktigare att hålla säkra än lösenordet till din lokala bokcirkel. Ett lösenord som är särskilt viktigt att freda är det till din primära e-post. På grund av hopkopplingen av system, använder sig de flesta plattformar av olika former av lösenordsverifieringar. Detta ger ofta användarna möjlighet att med hjälp av en angiven e-postadress kunna få lösenordspåminnelser. Den som kommit åt ditt e-postkonto kan alltså med hjälp av detta systematiskt komma åt och ändra lösenord även i andra system tills du helt stängts ute från ditt eget liv. Om det är något lösenord du vill hålla säkert och svårforcerat är det alltså detta.
Tekniska system som hjälper dig att hålla ordning på alla dina lösenord.
För den som har svårt att komma ihåg alla sina lösenord finns det lyckligtvis lättanvända och (förhållandevis) säkra tekniska system som hjälper dig med detta. Dessa så kalla lösenordshanterare lagrar alla dina lösenord i ett krypterat valv och hjälper dig att automatiskt komma ihåg och fylla i dina lösenord så du slipper. För att kunna använda dig av valvet och funktionen krävs ett lösenord som både är säkert och lätt att komma ihåg. Fördelen är nu att du måste ha koll på ett lösenord istället för många. Det finns många olika program av denna sort. Både gratis- och betalversioner. En sökning på ”lösenordshanterare” ger dig både kunskap och alternativ. Om vi bara kunde komma med ett råd kring hur du ökar säkerheten kring alla dina lösenord är det att använda en lösenordshanterare.
De flesta datorer har sina egna versioner av att spara lösenord. Detta är inte samma sak som ett specifikt program för lösenordshanterare. Istället handlar det om att din dator minns dina lösenord så du slipper logga in varje gång. Detta är inte på något sätt säkert. En person som får tillgång till din dator (exempelvis genom stöld eller att du lämnat datorn olåst någonstans i offentligheten) kan alltså logga in i alla system eftersom datorn minns alla lösenord.
Att använda en riktig lösenordshanterare är alltså den bästa och i längden säkraste metoden att skydda alla dina lösenord.
Principer för hur du löpande kan skapa säkra och unika lösenord som du ändå kommer ihåg
Det finns några enkla principer kring lösenord som kan vara bra att ha som utgångspunkt:
- Ju fler tecken ett lösenord innehåller desto säkrare är det.
- Ju fler olika och blandade tecken (stora och små bokstäver, siffror och specialtecken) ett lösenord innehåller ju säkrare är det.
- Ju mindre likt något faktisk förekommande ord eller fras ett lösenord innehåller desto säkrare är det.
”GUD” är exempelvis ett mindre bra lösenord eftersom det både är mycket kort (bara tre tecken) och dessutom är ett faktiskt ord (existerar i ordlistor). Dessutom är det känt som ett vanligt lösenord från andra användare. ”LÖSENORD” är däremot ett bättre lösenord då det är längre (åtta tecken). Men, det är fortfarande riktigt dåligt då det både är ett faktiskt ord (existerar i ordlistor) och dessutom känt som ett av de vanligaste lösenorden från andra användare. ”Vo%bla36#ir2” är avslutningsvis ett bra exempel på ett säkert lösenord då det består av en slumpmässig kombination av olika tecken. Det är dessutom långt (12 tecken), är inte ett faktiskt ord, eller något lösenord andra användare använt. Problemet med lösenordet är dock att det är mycket svårt att komma ihåg. Det är är här systematiska principer för att skapa säkra lösenord kommer till nytta.
Fraser kontra ord
Inte alla lösenordssystem tillåter fraser (meningar med flera ord med mellanslag) men om det tillåts är detta säkerhetsmässigt otroligt mycket säkrare. Dels tillförs längd (en mening kan ju lätt vara 30 tecken långt) och dels tillförs mellanslag. En fras har dessutom fördelen att den är lättare att komma ihåg. ”JAG HAR VITA FLODHÄSTAR I BRALLAN” är ett mycket starkt lösenord på grund av längd (33 tecken, inklusive mellanslag) även om det är ord som finns i en ordlista.
Principer för lösenord
Om du nu ska skapa 16 olika lösenord till olika tjänster och plattformar så blir det ju nästan omöjligt att hålla koll på lika många fraser. Än svårare, om det är långa serier med blandade tecken. Bättre i så fall är att sätta upp principer för hur du skapar lösenord som du alltid följer. Förhåller du dig sedan till dem kan du alltid lista ut lösenordet själv. Här kommer några exempel på hur du kan skapa sådan principer och lösenord. Lösenord skapade utifrån dessa kommer troligtvis vara mycket svårknäckta och lätta för dig att komma ihåg.
Exempel 1:
I varje ny tjänst eller plattform består mitt lösenord alltid av det första två bokstäverna i plattformen/tjänstens namn (med stor bokstav för egennamn) tillsammans med de sista två bokstäverna i plattformen/tjänstens namn. Dessa bokstäver omgärdas alltid av en siffra/siffror som är lika med antalet tecken i plattformen/tjänstens namn. Avslutningsvis börjar varje lösenord med ett frågetecken och avslutas med ett utropstecken.
- Ett lösenord till Facebook skulle följaktligen bli: ?8Faok8!
- Ett lösenord till Viktväktarna skulle bli: ?12Vina12!
Exempel 2
Bygg lösenorden på principen långt är bra och inled alla lösenord med samma grundfras – exempelvis ”Jag har vita flodhästar i brallan” (notera att mellanrummen får stå kvar som en del i lösenordet och används konsekvent). Lägg sedan till denna standardfras, siffror och tecken som är kopplat till den unika tjänsten/plattformen. Ta exempelvis den sista bokstaven i tjänstens namn och lägg till den fyra gånger – omväxlande med stor och liten bokstav. Avsluta alltid med ett procenttecken.
- Ett lösenord till Facebook skulle följaktligen bli: Jag har vita flodhästar i brallan KkKk %
- Ett lösenord till Viktväktarna skulle följaktligen bli: Jag har vita flodhästar i brallan AaAa %
Om du alltid följer dina principer kommer du aldrig att ha problem med dina lösenord. Skulle du någon gång ha glömt ditt lösenord är det helt enkelt bara att titta på tjänsten/plattformens namn och sedan konstruera ihop lösenordet utifrån den princip du bestämt dig för.
Testa dina lösenord
Om du avslutningsvis vill testa styrkan i dina lösenordsprinciper kan du gå till någon av de många tjänster som gör detta. På Kasperskys lösenordstestarsidahttps://password.kaspersky.com/kan vi till exempel testa de två olika principerna som exemplifierats ovan och här ser vi också styrkan i långa fraser. Vårt Facebook-lösenord ?Faok8! tar enligt Kaspersky 4 år för en hemdator att knäcka i en ”brute force-attack”. Medan Facebook-lösenordet Jag har vita flodhästar i brallan KkKk % tar mer än 10000 århundrade för samma dator att knäcka.
Kom dock ihåg att aldrig testa dina faktiska lösenord i testsystemen! Använd dem som ett laboratorium för att ta fram principer som både är säkra och lätta för dig att komma ihåg.
Mönster
”Men”, invänder du kanske ”Det framträder nu ett tydligt mönster bland dina lösenord som en illvillig operatör skulle kunna identifiera och använda för att plötsligt få tillgång till alla dina lösenord.” Detta är visserligen korrekt men det förutsätter att denna operatör antingen fått tillgång till flera av dina lösenord i klartext på något annat sätt än att knäcka dem, och då är det detta som är ditt säkerhetsproblem istället för lösenordet i sig, eller att de knäckt minst två av dina olika lösenord för att kunna se mönstret. Vilket, med hänvisning till Kasperskys styrketest ovan inte är rimligt eller troligt.
Övning
Skapa ditt eget hemsnickrade system för att täcka alla dina lösenord på alla plattformer. Gå till Kaspersky eller någon annan sida som testar styrkan i lösenord och undersök hur väl ditt system står sig. Kanske leder det till att du faktiskt ändrar ditt lösenordstänkande?