Tre steg mot ännu säkrare lösenord

OK, en tidigare artikel om lösenord gick alltså igenom det allra viktigaste för privatpersoner som inte gillar digitala inbrott. De fyra viktigaste reglerna är:

  1. Lär dig känna igen lösenordsfiske (”phishing”). Det enklaste sättet att ta sig in i dina system är att lura dig att uppge lösenordet.
  2. Se till att din smarttelefon låser sig automatiskt och håll koden/lösenordet hemligt. Om nån kommer åt telefonen så kommer hen åt många tjänster via apparna.
  3. Akta så ingen tittar över axeln när du skriver lösenordet. En populär metod för hackers inom familjen.
  4. Undvik riktigt dåliga lösenord. Som t.ex. lösenord, password, 12345, qwerty, ditt namn, osv.

Man brukar ju prata mycket om att använda lösenord av god kvalitet, men det är faktiskt inte det allra viktigaste. Bara punkt fyra har med kvalitetetn att göra, och de tre första med hur du hanterar lösenorden. Se den tidigare artikeln om varför det är så.

Nu när vi behärskar grunderna börjar det bli dags för nästa steg. Att titta på lösenordens kvalitet och hur man väljer dem.

  1. Återanvändning är pop just nu, men återanvänd inte lösenord! Det minimerar skadan om det sker ett missöde.
  2. Ett lösenord som du inte kommer ihåg är värdelöst. Det ska alltså ha nån form av betydelse för att vara lättare att komma ihåg.
  3. Ett lösenord ska vara tillräckligt långt och komplext för att man inte ska kunna bryta det genom att pröva alla möjliga kombinationer.

Låt oss dyka lite djupare i det här och ställa oss frågan varför det här är viktigt.

Varför unika, långa och komplexa lösenord?

Vi föreställer oss att du använder gmail, och använder din e-post-adress som användarnamn i en massa tjänster. Och samma lösenord, för det är ju så behändigt och lätt att komma ihåg. Fotbollsklubbens Mats är väldigt duktig och har alldeles själv byggt upp en fin websida med bilder, kalender, diskussioner osv. Men en vacker dag visar det sig att han har använt programvara som har säkerhetsbrister, och en hacker har tagit sig in och stulit användarregistret. Där finns din e-post-adress och ditt lösenord. Inte så farligt, tänker säkert många. Hackern får alltså veta när grabbarna har sin nästa träning. Men det är värre än så! Man behöver inte vara Einstein för att lista ut att man kan logga in på gmail med din gmail-adress. Och bingo, lösenordet funkade. Alltså prövar hackarn Facebook, Twitter, EBay, Amazon, osv. osv. Bingo, bingo, bingo, ….

I praktiken är det oftast inte riktigt så där lätt. Alltså om du har fallit för lösenordsfiske så har hackern ditt lösenord i klartext, och det är bara att prova sig fram. Men om hen har snott en databas från ett hackat system är lösenorden oftast skyddade med vad som på fackspråk kallas en hash-funktion. Det betyder helt enkelt att de har omvandlats på ett sätt som inte kan återställas. Man kan alltså prova om ett inmatat lösenord producerar samma omvandlade resultat. Om det stämmer var lösenordet rätt, annars fel. Men man kan inte ta den omvandlade datan och få fram lösenordet. Så hackern sitter där med oanvändbar data. Alltså om hen inte kör en ”brute force” eller ”dictionary” -attack. Det betyder att man låter en dator systematiskt prova ett stort antal lösenord för att se om nåt av dem är rätt. Råden att skapa långa komplexa lösenord beror på just det här.

Problemet är inte att man använt sin e-post-adress som användarnamn. Det måste man i praktiken göra för många tjänster kräver att användarnamnet är en fungerande e-post-adress. Men det här exemplet visar hur det kan gå om man använder samma lösenord på många ställen.

Alltså, olika lösenord på alla viktiga tjänster. Långa och komplexa, och dessutom lätta att komma ihåg. Hoppsan, det låter inte så lätt. Lugn, det finns lyckligtvis en bra metod att uppnå det här utan att vara övermänniska med fenomenalt minne.

Skapa ett eget lösenordssystem

Tänk på ett lite längre ord, eller en kort mening med två eller tre ord. Välj nånting som inte är uppenbart, dvs. lätt att gissa. Gärna nånting oväntat eller surrealistiskt. Men nånting som ändå skapar en tydlig minnesbild som är lätt att komma ihåg. Blanda sedan in några stora bokstäver, siffor och specialtecken. Memorera hur du gjorde det. Fundera sedan ut ett eget sätt att plocka några bokstäver från tjänstens namn och lägga dem till lösenordet. Se till att det skapar ett lösenord som är minst 10-12 tecken långt. T.ex. så här:

Lösenord för Facebook: röd_bAnan8caf

Det ser kanske kufiskt ut, men det här är ett ganska lätt lösenord att komma ihåg. Stommen, röd banan, är så galet att man kommer ihåg det. Dessutom lätt att visualisera. Sen blir andra bokstaven i banan stor. De åtskiljs med ett understräck _ . Slutet är tjänstens namns tre första bokstäver i omvänd ordning, och åtskilt med en 8. Här uppfyller vi alltså grundkraven på längd och komplexitet. 13 tecken långt, innehåller små- och stora bokstäver, siffror och specialtecken.

Om du funderar ut ett eget system av den här typen så är det lätt att komma ihåg stommen, som kommer att vara konstant i alla lösenord. Och när du öppnar nya tjänster är det lätt att härleda ett nytt lösenord från tjänstens namn. Visst, ett sånt här system kan producera duplikat för tjänster med likartade namn. Men det reducerar trots det återanvändningen av lösenord drastiskt.

Två råd. Var konsekvent. Om du gör upp ett sånt här system så använd det alltid och överallt. Gå in direkt och ändra lösenordet för de viktigaste tjänsterna. Råd nummer två. Det finns mindre viktiga tjänster där man kan använda ett standard lösenord. T.ex om man måste registrera sig för att kunna kommentera på en tidnings artiklar. Om det lösenordet bryts så kan nån visserligen skriva oförskämdheter i ditt namn, men himlen ramlar knappast ned. Ett och samma lösenord är helt OK för sådana här tjänster.

Micke