De flesta internetanvändare är ganska dåliga på att hantera lösenord. Lyckligtvis finns det enkla knep och bra hjälpmedel som gör det lätt att minnas säkra lösenord.
I takt med att vi skaffar allt fler konton på nätet får vi också allt fler lösenord att hålla koll på. Antalet lösenord som vi behöver minnas har för länge sedan passerat gränsen för vad som är rimligt att komma ihåg. Utan tekniska hjälpmedel tvingas vi därför att ta till dåliga nödlösningar. Vi kanske väljer vanliga lösenord såsom "123456" eller återanvänder samma lösenord på flera webbplatser.
Nödlösningar som dessa spelar angriparna rakt i händerna. Risken för att en angripare lyckas kapa något av våra konton ökar radikalt om vi väljer osäkra lösenord eller återanvänder lösenord. Samma sak gäller ifall vi väljer lösenord som har en personlig koppling till oss, till exempel namnet på gatan som vi bor.
Välj unika lösenord
Genom åren har det florerat många rekommendationer kring lösenord. Tyvärr har långt ifrån alla rekommendationer visat sig vara bra i praktiken. Under många år rekommenderades komplexa lösenord med blandningar av bokstäver, siffror och specialtecken. Målsättningen med rekommendationen var att användare skulle undvika vanligt förekommande ord som lösenord. Men rekommendationen tog inte hänsyn till att vi är människor. Vi har svårt att minnas långa och slumpmässiga teckenkombinationer.
Rekommendationen tog framför allt inte hänsyn till att vi har många konton och att vi behöver komma ihåg ett unikt lösenord för varje konto. Att aldrig återanvända lösenord är faktiskt det viktigaste i lösenordssammanhang. Om vi läcker lösenordet till ett av våra konton ska ingen angripare kunna logga in med samma kombination av användarnamn och lösenord på andra webbplatser.
Behovet av unika lösenord väger tungt oavsett hur duktiga vi är på att skydda våra lösenord. Det är nämligen inte bara vi som kan råka läcka lösenorden. Webbplatserna som vi registrerar oss på kan också råka läcka våra lösenord. Varje månad rapporteras det om någon ny webbplats som har råkat ut för ett dataintrång och läckt användarnas lösenord.
Anne-Marie Eklund Löwinder, tidigare informationssäkerhetschef på Internetstiftelsen, poängterar att webbplatserna som vi registrerar oss på kan äventyra lösenordssäkerheten.
– Du kan ha hittat på världens bästa lösenord, men det kräver också att den vars tjänster du använder förmår att skydda sin lösenordsdatabas, säger Anne-Marie Eklund Löwinder.
Tips! Du kan själv kontrollera om din e-postadress figurerar i lösenordsläckor. IT-säkerhetsbranschen samlar alla stora lösenordsläckor i en databas på haveibeenpwned.com. Där kan du också, helt kostnadsfritt, prenumerera på notiser. Då blir du underrättad om din e-postadress dyker upp i lösenordsläckor i framtiden.
Undvik vanliga lösenord
Angripare vill vara effektiva. När angripare försöker att knäcka våra lösenord börjar de därför med att testa alla vanliga lösenord. Efter decennier av lösenordsläckor har angriparna tyvärr tillgång till bra listor över lösenord som användare brukar välja.
På grund av detta finns det flera kategorier av lösenord som vi aldrig bör välja. Där ingår bland annat ord som finns i ordlistor, svordomar, geografiska platser och namn av alla dess slag. Vi bör aldrig heller välja vanliga tangentbordskombinationer såsom qwerty (de sex första bokstäverna på tangentbordet).
Tips! Flera säkerhetsföretag sammanställer listor över de vanligaste lösenorden som dyker upp i lösenordsläckor. Du hittar en sammanställning över dessa listor på engelska Wikipedia.
Välj långa lösenord
När vi väljer lösenord bör vi inte bara välja unika lösenord. Vi bör dessutom välja långa lösenord. Ju längre lösenord vi väljer, desto svårare blir det att knäcka dem. Om vi väljer tillräckligt långa lösenord blir det rent av omöjligt att knäcka dem.
Om angriparna inte lyckas lura oss att avslöja våra lösenord tvingas angriparna att testa tänkbara lösenord, ett efter ett. Först testar angriparna alla vanligt förekommande lösenord och variationer av dessa, till exempel "sommar", "sommar1" och "s0mmar" (bokstaven O är utbytt mot siffran noll). Om vi inte har valt något sådant lösenord tvingas angriparna att testa alla teckenkombinationer. Då ökar den genomsnittliga tiden det tar att knäcka lösenordet dramatiskt (exponentiellt) för varje tecken vi lägger till.
Här är ett exempel på hur lång tid det tar att knäcka ett lösenord med slumpvis valda bokstäver ur det svenska alfabetet.
Antal tecken | Genomsnittlig knäcktid |
6 tecken | 19 sekunder |
7 tecken | 19 minuter |
8 tecken | 19 timmar |
9 tecken | 45 dygn |
10 tecken | 86 månader |
11 tecken | 420 år |
12 tecken | 42 millennier |
(Den exakta tiden beror på hur lösenordet är skyddat och hur kraftfulla datorer som angriparna har tillgång till. Förhållandet mellan tiden det tar att knäcka olika långa lösenord är detsamma.)
Välj lösenfraser
Nackdelen med långa lösenord är att de är svåra att komma ihåg. Det är därför en god idé att välja "lösenfraser" i stället för lösenord. Lösenfraser är kombinationer av ord. Sådana är säkra att använda trots att de innehåller ord som finns i ordlistor eftersom orden används i kombination med varandra.
Det viktiga är att inte välja en fras som i sig är vanligt förekommande, till exempel "I love you" eller "hej på dig". Det bästa är att ta minst fyra slumpvis utvalda ord. Fyra slumpvis utvalda ord ur Saol (Svenska akademins ordlista) är betydligt svårare att knäcka än elva slumpvis utvalda bokstäver.
Börja med att skydda e-postkontot
Att byta till unika och långa lösenfraser tar tid, men vi kan snabbt höja säkerheten rejält genom att prioritera rätt. Vi börjar med att säkra våra mest skyddsvärda konton. Sedan kan vi ta resten av kontona i takt med att vi använder dem.
Kapar någon ditt mejlkonto kan de byta ut lösenord på alla dina tjänster.
Anne-Marie Eklund löwinder
Vårt mest skyddsvärda konto är oftast vårt e-postkonto. Det beror på att vår e-postadress används för lösenordsåterställning på andra webbplatser. Om en angripare kommer åt vårt e-postkonto kan angriparen återställa lösenordet till alla våra andra konton där vi har valt den e-postadressen som återställningsadress.
– Kapar någon ditt mejlkonto kan de byta ut lösenord på alla dina tjänster och faktiskt låsa dig ute från hela din digitala identitet, varnar Anne-Marie.
Konton på sociala medier är också skyddsvärda. Kapade Facebook- och Instagram-konton utnyttjas ofta av bedragare för att få spridning på bedrägerier. Sådana bedrägeriförsök är effektiva eftersom bedragarna kan utge sig för att vara oss för våra vänner och bekanta.
Använd tvåfaktorsautentisering
E-postkonton och sociala medier-konton är så skyddsvärda att vi inte bör skydda dem med enbart ett lösenord. Vi bör även aktivera funktionen som kallas tvåfaktorsautentisering. Den gör att det både krävs rätt lösenord och en tidsbegränsad engångskod för att logga in. Om vi skulle råka läcka vårt lösenord kan tvåfaktorsautentiseringen stoppa eventuella intrångsförsök. Angriparna har fortfarande inte tillgång till vår mobil, och utan vår mobil får de aldrig den rätta engångskoden.
Den tidsbegränsade engångskoden skickas antingen via sms eller genereras av en app på vår mobil. Den sistnämnda metoden är att föredra eftersom den är säkrare, snabbare och enklare.
Tvåfaktorsautentiseringsappen 2FAS är gratis och reklamfri. Den finns till både Iphone (App Store) och Android-mobiler (Google Play).
Alla stora sociala medier och alla säkra e-posttjänster stödjer tvåfaktorsautentisering. Ibland kallas funktionen tvåstegsverifiering eller flerfaktorsautentisering i stället.
Använd en lösenordshanterare
För att kunna ha unika och långa lösenord till alla konton behöver vi ett tekniskt hjälpmedel som kallas lösenordshanterare. Det är en app som vi kan installera på vår mobil och lägga till som ett webbläsartillägg i vår webbläsare på datorn.
Bitwarden, 1password, Proton Pass och Icloud-nyckelringen är exempel på bra lösenordshanterare. De låter oss spara alla våra lösenord, tryggt och säkert, i ett krypterat lösenordsvalv. Lösenordsvalvet krypteras med ett huvudlösenord som vi själva väljer. Det huvudlösenordet blir också det enda lösenordet som vi behöver komma ihåg. Med hjälp av huvudlösenordet kan vi låsa upp lösenordsvalet och låta lösenordshanteraren fylla i alla andra lösenord automatiskt.
Lösenordshanterare kan ofta också ge förslag på starka och unika lösenord. Det är fördelaktigt eftersom vi annars riskerar att välja lösenord som någon annan redan har valt.
– Vi människor har ganska dålig fantasi, konstaterar Anne-Marie avslutningsvis.
Bitwarden, Proton Pass, 1password och Icloud-nyckelringen har alla stöd för att automatiskt generera lösenord. De är dessutom gratis att använda, med undantag för 1password.
Mer information om lösenordshanterare finns i artikeln Lösenordshanterare löser dina lösenordsproblem.
Checklista
- Välj unika lösenord. Varje konto ska ha ett eget lösenord som du inte använder någon annanstans.
- Välj långa lösenord. Ju längre lösenord du väljer, desto svårare är lösenorden att knäcka. Välj gärna lösenord som är minst tolv vecken långa, till exempel genom att kombinera ihop flera ord till en "lösenfras".
- Börja med att skydda ditt e-postkonto och dina konton på sociala medier. Dessa konton är oftast de mest skyddsvärda.
- Aktivera tvåfaktorsautentisering på alla konton där möjlighet ges. Detta är framför allt viktigt för ditt e-postkonto och för dina konton på sociala medier.
- Skaffa en lösenordshanterare. Det är omöjligt att komma ihåg många, långa och unika lösenord. Bitwarden är gratis och finns till både Iphone och Android. Bitwarden finns också som ett tillägg till alla webbläsare på datorn.