De flesta av oss är ganska dåliga på att hantera våra lösenord. Men genom några enkla åtgärder kan du minimera risken för att någon ska komma över dem – och därmed också ditt digitala liv.
I takt med att vi lever en allt större del av våra liv på nätet, och gör oss beroende av program och tjänster, ökar antalet lösenord vi måste hålla koll på.
Du kanske redan har en strategi? Brukar du använda "123456"? Dotterns namn tillsammans med födelseår? Eller är du en av dem som ser till att du kan memorera ett långt lösenord som du sedan använder till alla dina inloggningar?
Sluta! Exemplen du just läst är precis sådana som ökar risken för att någon ska kunna räkna ut ditt lösenord.
Det finns regler kring lösenord
Internetstiftelsen.
(Foto: Kristina Alexanderson)
När det gäller lösenord finns ett par enkla regler att förhålla sig till. Följer du dem minskar du avsevärt risken för att någon ska komma över ditt lösenord. För helt säker kan man aldrig vara, det handlar om att minimera faran.
– Den som undviker att använda de vanligaste lösenorden har vunnit mycket ur säkerhetssynpunkt, säger Anne-Marie Eklund-Löwinder, informationssäkerhetschef på Internetstiftelsen.
Viktigast är att ha unika lösenord
Viktigast av allt är att du har unika lösenord. Alltså att du inte använder samma till alla dina inloggningar, utan har ett specifikt för varje tjänst.
Man ser ofta saker som "123456" eller "password".
Anne-Marie Eklund Löwinder
– Du kan ha hittat på världens bästa lösenord, men det kräver också att den vars tjänster du använder förmår att skydda sin lösenordsdatabas, säger Anne-Marie Eklund-Löwinder.
Att databaser med lösenord hackas är dessvärre vanligare än många tror. Internationella företag som Adobe, Sony och Facebook är bara några av dem som drabbats av hackerattacker som inneburit att användaruppgifter läckt ut. Har du då samma lösenord till flera olika tjänster ökar risken för att flera konton blir kapade, eftersom den som kommit över ditt lösenord kan testa det på många tjänster.
Undvik vanliga lösenord
Förutom att ha unika lösenord ska du undvika vanliga lösenord. Strunta i enstaka ord, personnamn, platser eller tangentbordskombinationer som "qwerty". Detsamma gäller kända citat. Allt är exempel på så kallat "vanligt förekommande lösenord", vilket innebär att de inte är säkra.
Vi människor har ganska dålig fantasi.
Anne-Marie Eklund Löwinder
Listor över vanligt förekommande lösenord sprids ofta på nätet och används vid så kallade ordlisteattacker, där angriparen systematiskt testar tänkbara lösenord för att komma över ditt konto.
Så länge ditt lösenord inte finns med bland de vanligaste 10 000, är du relativt säker från ordlisteattacker. En lista med vanliga lösenord i Sverige kan du hitta i rapporten Lösenord för alla från 2016. En sammanställning över världens vanligaste lösenord går att hitta på Wikipedia.
– Ett starkt lösenord är ett som ingen annan har tänkt på. Vi människor har ganska dålig fantasi. I listor med knäckta lösenord ser man ofta saker som "123456" eller "password", säger Anne-Marie Eklund-Löwinder.
Lösenord ska vara långa
Du ska också skapa långa lösenord. En metod som angripare kan använda för att knäcka lösenord kallas "brute force" och innebär att de använder program som är skapade för att gå igenom olika kombinationer av bokstäver, siffror och specialtecken.
Vid en sån attack kommer lösenordet till slut att knäckas, men ju längre lösenord du har desto längre tid tar det.
Grundrekommendationen är att lösenordet ska innehålla minst tolv tecken, men det får gärna vara ännu längre. Lägger du även in specialtecken ökar säkerheten ytterligare.
I boken Bli säker: IT-säkerhet för alla har säkerhetsföretaget Nikka Systems gjort en uträkning på hur mycket svårare ett lösenord blir att knäcka beroende på hur långt det är. Man förhöll sig då till att angriparen på förhand vet hur många tecken lösenordet består av och att det enbart består av svenska bokstäver.
Använd fraser för att enklare komma ihåg dina lösenord
Ett bra sätt för att skapa långa lösenord är att använda lösenfraser, alltså kombinationer av ord. En lösenfras är betydligt lättare att komma ihåg än en lång följd av olika slumpmässiga bokstäver, siffror och specialtecken.
En lösenfras bör innehålla över fyra ord för att bli lång nog och orden ska vara slumpvis utvalda. Vanliga uttryck eller sammanhängande fraser minskar säkerheten drastiskt.
Även detta har Nikka Systems djupdykt i. I deras beräkningar har de utgått från att Svenska Akademiens ordlista, SAOL, innehåller
126 000 ord.
Väljer du fyra slumpvisa ord från SAOL och sätter i hop dem i en fras finns hela 252 047 376 000 000 000 000 olika lösenordskombinationer.
Var inte personlig
Använd aldrig lösenord som kan kopplas till dig som person. Dotter, födelseår och namn på föräldrar är alla exempel på lösenord med en förhöjd risk att knäckas.
Tänk också på att olika tjänster är olika viktiga att skydda.
Det absolut viktigaste är din e-post. Det är via mejlkontot vi kan byta lösenord på olika tjänster eller begära ett nytt om vi har glömt bort det ursprungliga.
– Kapar någon ditt mejlkonto kan de byta ut lösenord på alla dina tjänster och faktiskt låsa dig ute från hela din digitala identitet, säger Anne-Marie Eklund-Löwinder.
Viktigast efter mejlkontot är dina sociala medier.
Skulle någon ta över dina sociala medier gör de snabbt skada, antingen genom att personen försöker lura dina vänner på pengar eller genom att använda ditt konto för att misskreditera dig eller förstöra dina sociala relationer.
Fyra lösenord klarar de flesta att komma ihåg.
Anne-Marie Eklund Löwinder
Anne-Marie Eklund-Löwinder rekommenderar att tvåfaktorsautentisering används på de tjänster som är viktigast att skydda – om det erbjuds. Det innebär att det utöver ditt lösenord behövs ytterligare en kod eller annan faktor för att logga in. Undvik dock helst lösningar med sms, då tekniken som sms bygger på inte anses vara säker.
Använd lösenordshanterare för att komma ihåg alla dina lösenord
Hur ska du då komma ihåg alla dina unika och säkra lösenord? Jo, det finns en smart lösning för det.
Använd en lösenordshanterare. Det är ett program som både lagrar och hjälper dig att skapa säkra lösenord. När dina lösenord väl är sparade i hanteraren får du också hjälp att logga in på dina tjänster. I teorin behöver du alltså bara komma ihåg lösenordet till lösenordshanteraren.
Men Anne-Marie Eklund-Löwinder rekommenderar ändå alla att hålla några särskilt värdefulla lösenord utanför programmet.
– Jag skulle inte lägga in lösenordet till min dator, lösenordet till min mejl eller koden till mitt bank-id i en lösenordshanterare. Det är för viktiga för det. Men då är du ändå nere på att det räcker med att komma ihåg fyra lösenord. Det klarar de allra flesta!
Så hanterar du dina lösenord
• Dela inte lösenord med någon annan – Du vet aldrig om den andra personen hanterar ditt lösenord på ett säkert sätt. Dessutom kan din relation till personer förändras och då kan lösenordet användas för att göra dig skada.
• Lösenordshanterare är att föredra – Om du inte vill använda lösenordshanterare och i stället skriver ner dina lösenord på papper, låt det inte ligga framme utan förvara det som den värdehandling det är. Och kom ihåg: Det är inte bra att ha lösenord antecknat i klartext i en textfil på datorn eller mobilen.
• Spara inte lösenord i webbläsaren – Om någon använder din dator kan personen se alla dina lösenord.
• Byt bara lösenord om du tror att det har blivit röjt – Med ständiga lösenordsbyten ökar risken att man väljer lösenord som är lätta att komma ihåg, vilket för det mesta är samma sak som ett svagt lösenord.
• Att logga in på tjänster via Facebook innebär en ökad risk – Det är visserligen enkelt, men om någon kommer över ditt Facebook-konto kommer den personen också över möjligheten att logga in på alla de tjänster som du loggar in på via Facebook.
• Undvik lösenordsgeneratorer – På nätet finns sajter som erbjuder just sådana, men det är ofta oklart vem som driver dem och om de genererade lösenorden sparas.
• Byt lösenord om du blir bestulen på en enhet – Blir du av med din mobil, dator eller platta byt alla dina lösenord omgående!
• Lämna aldrig ifrån dig koder – Ditt mobila bank-id, ditt bank- och kreditkort eller koden till din bankdosa är personliga. Banken skulle aldrig kontakta dig för att fråga om koder eller kortnummer eftersom deras system är byggda så att de kommer åt ditt konto ändå.
• Logga aldrig in på en tjänst via någon annans enhet – Det gäller både dina vänners datorer och mobiltelefoner eller till exempel om du besöker internetcaféer när du är ute och reser. Lånade enheter kan autospara dina lösenord och vara infekterade med skadlig kod.
