Så väljer du säkrast möjliga lösenord – och här är fällorna att undvika
Ett starkt lösenord är a och o för att skydda dina viktiga konton. Så här gör du för att välja ett lösenord som är lätt att minnas men svårt att hacka.
Med hundratals konton på olika sajter och tjänster som alla behöver varsitt lösenord är vår stående rekommendation till alla att skaffa och använda en lösenordshanterare. Det löser många av problemen med lösenord, men inte ens med en lösenordshanterare kommer du undan helt att välja lösenord. Du måste ju för det första ha ett lösenord till ditt lösenordsvalv, och förmodligen har du ett par konton du vill kunna lösenorden till utantill. Ditt konto på datorn till exempel.
Under många år har vi blivit itutade att ett säkert lösenord består av slumpvis valda tecken – inte bara ur alfabetet utan även siffror och symboler – och är ”minst 8 tecken långt”. Till och med lösenorden till trådlösa routrar har en välkänd minimilängd på 8 tecken, vilket har lett till att kaféer kan ha lustiga lösenord som bönan123.
Det här var aldrig särskilt bra riktlinjer, men för länge sedan när kapaciteten hos datorer var många gånger lägre märktes det inte. Ett lösenord som 4#weM7[L är betydligt säkrare än password eller 12345678, och med åtta tecken var det i det närmaste omöjligt att cracka.
Men det var då. Idag kan en vanlig pc med ett kraftfullt grafikkort knäcka det på någonstans mellan ett par dagar och några veckor.
I dag bör lösenord som består av slumpmässiga tecken vara minst 12 tecken långa, och helst ännu längre. Om du tyckte det var svårt att komma ihåg 4#weM7[L så kan du ju testa eFxNvANveD6=z2*P.
Correct horse battery staple – Xkcd-tekniken
Den välkända internetserien Xkcd har publicerat en av de mest träffande kritikerna av den under många år allenarådande uppfattningen om hur säkra lösenord är skapta. ”Genom 20 års ansträngningar har vi lyckats lära alla att använda lösenord som är svåra för människor att komma ihåg men lätta för datorer att gissa.”
Svaret på dilemmat är att inte tänka så mycket på tecken. Svårigheten för en dator att knäcka ett lösenord beror på två faktorer: huruvida det faktiskt är slumpmässigt valt, och hur många olika gissningar en dator i genomsnitt behöver göra för att hitta det.
Det första handlar om att inte välja lösenord från listan över de 1 000 eller 10 000 vanligaste lösenorden (listor som lösenordscrackarprogram har tillgång till och använder först, eftersom de är så pass vanliga). Använd inte heller ditt namn eller något annat som kan kopplas till dig.
Det andra handlar om hur många olika tecken du väljer bland och hur många tecken du har. Med alfabetet, siffror och specialtecken handlar det om ungefär 96 olika tecken att välja mellan och har du då 8 tecken i lösenordet blir det totalt 7×10^15 kombinationer.
Väljer du istället fyra slumpade ord från SAOL får du med årets lista cirka 2,5×10^20 kombinationer (fyra ord valda bland cirka 126 000). Men det är samtidigt nästan lika enkelt att minnas som fyra slumpmässiga bokstäver.
I dag har flera lösenordshanterare, bland annat 1Password, inbyggt stöd för att skapa lösenord från ordlistor på det här sättet. Det kan du använda även för att skapa lösenord som du vill lägga på minnet. Vill du ha ord på svenska kan du helt enkelt översätta de ord som slumpats fram på engelska.
Om du inte hittar på utan väljer själv blir slumpmässigheten så klart mindre, men för en naiv attack av någon som inte känner dig är skillnaden minimal. Se bara till att inte välja ett citat, en titel eller något annat som faktiskt redan har skrivits.
Så gör du om sajten har krav på versaler, siffror och specialtecken
Tre-fyra vanliga slumpmässigt valda ord räcker väldigt långt, men det finns en hake. På nätet kräver de allra flesta tjänster att ditt lösenord inte bara har en viss längd utan även innehåller både gemener och versaler, siffror och dessutom specialtecken.
En modifierad variant av ”correct horse battery staple” blir att välja två eller tre slumpade ord och sedan välja ett sätt att kombinera dessa som bara du vet och som uppfyller sajternas krav. Du kan till exempel ha ett par specialtecken du alltid placerar mellan orden, medan den första bokstaven är versal och t alltid ersätts med 7.
Den sortens fasta konverteringar och tillägg gör det så klart inte svårare att gissa lösenordet för en dator, men det behövs inte – de är bara till för att tillfredsställa sajternas egentligen onödiga krav.
Med Iphone (och snart i vissa Androidmobiler) räcker ett kortare lösenord bra eftersom lösenordet bara kan testas på just den telefonen.
Olika längd för olika konton
Eftersom det här handlar om lösenord som du faktiskt vill minnas, både i morgon och om ett halvår, är det viktigt att de faktiskt är enkla nog att minnas. Det är hela vitsen med att välja slumpmässiga ord. Men ibland kan enkelhet att skriva in också vara av vikt. På mobilen till exempel, där du förmodligen inte känner för att sitta och skriva in lösenord med 20 tecken.
Välj därför lösenord utifrån hur viktigt det är att säkra kontot, men även hur troligt det är att någon kan försöka cracka det. Mobilens lösen är inte ett konto på en onlinetjänst och den som vill cracka det måste få tag i själva telefonen. Har du en Iphone har Apple dessutom hjälpt dig – lösenorden måste nämligen testas direkt på telefonen, annars måste den krypterade datan dekrypteras med den faktiska krypteringsnyckeln som är så lång att världens samlade datorkapacitet inte kan cracka den på hundra år.
Använder du en lösenordshanterare är det faktiskt dess lösenord som bör vara riktigt långt. Facebook, Google och andra stora tjänster har begränsningar i hur ofta någon kan testa lösenord så där behövs inte heller riktigt så supersäkra lösenord.
Hur ofta bör du byta lösenord?
Här är en liten hemlighet: Lösenordsbytardagen behövs inte för den som redan har säkra lösenord.
Dagens funktion är att få folk att tänka på sina lösenord och förhoppningsvis byta ut osäkra lösenord till säkrare. Men om du har ett lösenord som ”ypperlig fylla tomat” som du har lagt på minnet och inte glömmer i första taget är det bara onödigt att byta ut det. Flera kända säkerhetsexperter, bland annat Gene Spafford vid Purdue University och Bruce Schneier, har skrivit om detta. Även Microsoft har undersökt saken.
Undantaget är om tjänsten kontot hör till har hackats eller om du har annan anledning att tro att databasen med dina kontouppgifter kan ha läckt ut. Då bör du byta omedelbart. Detsamma gäller om du har drabbats av skadeprogram på datorn – dessa kan ha tangentbordsloggning som kan läsa av dina lösenord.
Använd tvåstegsverifiering
Vårt sista råd är att använda tvåstegsverifiering eller tvåfaktorverifiering närhelst den möjligheten erbjuds. Det gör både att ditt lösenord inte behöver vara lika bombsäkert eftersom det inte räcker för att komma åt kontot, och att du får ett visst skydd om och när tjänsten i fråga hackas.
