En sak som blir alltmer vanligare i vårt ständigt utvecklande samhälle, är lösenord och konton för tjänster som sen ska behöva hålla reda på. Och än värre är då många är inte har förståelsen för varför det är viktigt att ha bra lösenord, så blir ofta (tyvärr) konsekvensen att man väljer den lätta vägen som medför större risk.
Vi lever i ett väldigt godtroget och naivt tekniskt samhälle där ny teknologi ofta släpps innan det är redo, för att tillfredsställa dess investerare och konsumenter- där säkerhet ofta blir lidande konsekvens av hasten att lansera den nya produkten. Många har nästan blind tillförlit till företagen och tjänsterna de använder dagligen då de aldrig skulle kunna tänka sig att de gör annat än rätt för sig.
Målet med den här artikeln är att informera dig som läsare om hur man skapar säkra lösenord som dessutom är lätta att komma ihåg, vilka säkerhetsrutiner relaterade till lösenord som är optimala, hur lösenord hanteras av tjänster och hur hackers försöker knäcka ditt lösenord samt vilka risker som finns relaterade till dina lösenord. Allt detta för att du ska få bättre koll på hur du skyddar din data med säkra lösenord och rutiner.
För absolut bästa säkerhet följ dessa råd
- Dela aldrig med dig av dina lösenord till någon
- Ha aldrig lösenord liggandes i det öppna för andra att se
- Ha aldrig lösenord kortare än 8-12 tecken
- Ha alltid lösenord med en salig blandning av Stora och små bokstäver, siffror samt symboler/specialtecken
- Ha aldrig samma eller liknande lösenord som dina tidigare lösenord
- Ha aldrig samma lösenord på mer än ett ställe
- Byt dina lösenord regelbundet (1 gång i månaden eller oftare)
- Skriv aldrig in dina kontouppgifter eller lösenord på länkar i E-post meddelande från tjänster (de ber aldrig dig att göra detta om det är den riktiga tjänsten som skickat meddelandet)
- Skicka aldrig lösenord över okrypterade E-post meddelande
Mnemonik – En vinnande teknik för att enkelt minnas dina komplexa lösenord
Där finns en minnesteknik som kallas Mnemonik, där man associerar tecken på ett sätt som hjälper en att minnas. Detta är speciellt användbart för just att memorera lösenord, som vi har så många av idag- och får alltmer allteftersom tiden fortskrider.
Hur Menmonisk minnesteknik funkar
Det är faktiskt ganska enkelt, om du tänker dig ett ord på ett minimum av 8 tecken som du vill associera ditt lösenord med, lösenordet ska alltså likna detta ord, sedan använder du tecken och symboler som liknar bokstäver för att stava ordet och variera små och stora bokstäver.
T ex. om vi väljer ordet Association som lösenordsfras, så kan vi stava den på följande sätt: @s50C!At1oN <- detta lösenord innehåller: 2 symboler (@, !), 3 st. små bokstäver även kända som gemener (s,t,o), 3 siffror (5,0,1), 3 stora bokstäver även kända som versaler (C,A,N).
SnabelA:et (@) symboliserar A:et i Association, medan siffran 5 kan liknas vid bokstaven S och siffran 0 kan liknas vid bokstaven O, Utropstecknet kan liknas vid uppochnedvända bokstaven i, siffran 1 kan också liknas vid bokstaven i. Så nu har vi gjort ett säkert lösenord där tecknen tillsammans bildar ett ord vi enkelt kan minnas, vilket underlättar för memorering då vi enbart behöver lära oss teckenvarianten som stavar själva ordet, vilket underlättar memorering av lösenord en aning.
Förhoppningsvis och förmodligen blir det lättare med mnemoniskt designade lösenord att memorera än än att försöka memorera t ex. hI!yKj&1U9W, som innehåller exakt lika många stora bokstäver, små bokstäver, siffror och symboler som vårt Associations-lösenord ovan. Stora skillnaden är att det sista lösenordet är väldigt svårt att memorera då det inte påminner om något bekant, utan varje tecken i dess specifika ordning måste memoreras, utan en röd tråd som binder dem samman.
Mnemonisk minnesteknik brukar förlita sig på din fantasi och ditt ordförråd, men brukar ofta vara väldigt effektivt, speciellt för lösenordsmemorering.
Alternativ minnesteknik – kombinera flera opersonliga ord
Ett annat populärt sätt att skapa lösenord är att kombinera flera ord där med hjälp av camelCase stavning som används i programmering. camelCase är en teknik där man inleder första ordet i en mening med liten bokstav, medan alla efterföljande ord får stor första bokstav (detta då man i programmering oftast inte kan använda mellanrum mellan ord vid namngivning av variabler och liknande).
Säkerhetsexperter menar på att s.k. ”dictionary-attacks” inte funkar lika bra mot lösenord som består av mer än ett ord i kombination som en mening eller fras – då ordlistorna oftast är fokuserade på enstaka ord eller få-ords kombinationer.
De som rekommenderar denna alternativa minnesteknik menar på att hackers är vana idag vid att s.k. LeetSpeak (13375p34k) används där man ersätter bokstäver med dess siffer-motsvarighet – dock är det inte exakt detta vi gör med den mnemoniska minnestekniken, visst använder vi oss lite av det, men i kombination med en variation av andra metoder som ökar svårigheten för lösenord ytterligare (symboler, stora och små bokstäver, etc.).
Tips för när du ska hitta på nya lösenord
Skapa aldrig lösenord som har personligen anknytningar. Försök undvika husdjursnamn, familjemedlemmars namn, födelsedatum, adress, åldrar, telefonnummer, personnummer och liknande.
Anledningen till detta är då ett av sätten som hackers använder för att knäcka lösenord är den s.k. ”dictionary”-attacken som använder en skräddarsydd referenslista/ordlista med massa ord och teckenkombinationer som genom historien varit vanligt förekommande som valda lösenord eller bara termer som används av personer i kommunikationssammanhang. Detta gör det enklare att knäcka den typen av lösenord. Enkelt förutsägbara lösenord med andra ord.
Där finns en risk att en hacker skulle kunna ha personliga motiv, då är det extra smart att inte använda personliga kopplingar som exemplen listade i början av denna textsektion. För en sådan hacker kommer troligen att först försöka ta reda på saker om dig i och med att många vanligen skapar lösenord med personliga anknytningar för att göra lösenorden lättare att komma ihåg.
Undvik impulsen att skapa sådana lösenord för säkerhets skull.
Vinnande strategi för flera olika lösenord till olika tjänster
Ett smart tips som många använder, är att de skapar ett säkert lösenord, sen när det antingen är dags att byta lösenord om man följer rutinen att byta lösenord varje månad, eller när man ska skapa ett nytt konto, så lägger de bara till ett eller några tecken på slutet av det första säkra lösenordet.
På så sätt behöver man inte memorera om helt nya lösenord, vilket underlättar en hel del.
Lösenordsgenerator och när det kan vara aktuellt
Du kanske känner till att det finns s.k. lösenords generatorer som kan generera säkra lösenord utan att du behöver hitta på lösenord själv. Dessa kan vara bra om du har bråttom, eller använder ett program som håller koll på lösenorden (KeePass t ex.) åt dig där du snabbt vill ha ett säkert lösenord som du heller kanske inte behöver memorera personligen. Då kan en lösenords generator vara aktuellt.
Det kan också vara bra som referens att använda en lösenords generator för att se vilka kriterier de använder för att skapa säkra lösenord – t ex. vilken längd på lösenord, hur många av vilka olika tecken och liknande. Detta antar då förstås att det är en lösenords generator av ett respekterad utvecklare som har koll på vad som gör ett lösenord säkert, alla kanske inte har det.
Hur tjänster lagrar dina lösenord på bra respektive dåliga sätt
Det säkraste sättet en tjänst kan lagra dina lösenord i sina databaser på är då de inte lagrar ditt exakta lösenord i klartext, utan istället genererar ett matematiskt HASH som är en sifferkombination baserat på teckenkombinationen ditt lösenord bestod utav, som sedan i sin tur lagras i deras databas.
På detta vis kan inte deras anställda se vilket lösenord du valt när de är och jobbar i databasen.
Tyvärr kan det dock vara svårt att veta hur en tjänst hanterar dina lösenord. Jag har personligen varit med om en hemsida som avslöjade sig rätt så rejält när jag hade glömt mitt lösenord och tryckte på deras ”glömt lösenord” knapp, och fick ett E-post meddelande (okrypterat) där mitt lösenord var utskrivet i klartext… Aja baja…
Detta innebar att de hade mina lösenord lagrade i databasen i klartext – för om ett HASH hade använts hade jag inte fått mitt lösenord utskrivet i klartext i E-post meddelandet, utan kanske snarare en länk till en sida där jag kunde skriva in nya lösenord, eller som genererade nytt lösenord till mig per automatik vid klickning.
Krav på ett säkert lösenord
Det är lite upprepning för denna artikels första rubrik, men ett minimum på 8 tecken i längd, en god blandning av stora bokstäver (versaler), små bokstäver (gemener), siffror och specialtecken/symboler.
Notera dock att dessa rekommendationer är baserade på dagens datorteknologi (2018-11-18), och kommer förmodligen kräva ökad längd, m.m. i framtiden när datorernas processorer blir allt starkare då detta ofta är vad som avgör hur snabbt ett lösenord kan knäckas.
Din lagring av lösenord
Har du som många andra många olika lösenord du behöver hålla koll på kanske den vinnande strategin beskriven ovan hjälper en hel del, men om det fortfarande är jobbigt att hålla samtliga lösenord i huvudet, kan man lagra de i ett speciellt lösenordshanterings program på datorn (om man nu litar på sådana), eller i vanliga textdokument antingen krypterade eller okrypterade på dator med eller utan internet, eller i en pärm på papper som i sin tur kan förvaras öppet eller i ett säkert kassaskåp. Det finns många sätt att lagra och förvara sina lösenord, det är helt upp till dig hur säker du vill vara och hur paranoid du är :).
Insikt om hur Hackers knäcker ditt lösenord
För att förstå lite hur det går till när hackers försöker knäcka ditt lösenord så finns där några olika sätt de kan göra på. Ett av sätten kallas ”brute-force” attack, och innebär i stort sett att hackern med hjälp av datorns processorkraft provar ALLA möjliga kombinationer av tecken som datorn kan komma på – detta sätt tar därför oftast längst tid för att knäcka lösenord.
Ett annat känt sätt är en s.k. ”dictionary”-attack som diskuterades tidigare i artikeln. Det behöver inte nödvändigtvis behöver vara en ordlista begränsad till ord, utan även kan inkludera datakombinationer för adresser, telefonnummer, kända tecken kombinationer, slang för specifika länder, m.m.
Ordlistorna brukar täcka en salig blandning kombinationer som är troliga kandidater att användas som lösenord. Detta kan spara tid jämfört med att prova alla olika teckenkombinationer som existerar som ni säkert kan förstå.
Ändring av Standardlösenord är av yttersta vikt
I vissa fall när man köper nya elektronikprylar och produkter som t ex. Nätverksrouter så brukar man få standardinställda användarnamn och lösenord för att komma igång och konfigurera routern.
Det är bäst att ändra dessa snarast möjligt, detta då hackers förmodligen känner till vilka olika standardkombinationer av användarnamn och lösenord som är specifika för diverse tillverkare och företag, vilket utgör en enorm säkerhetsrisk om du väljer att behålla standardinställningarna!
Så se till att ändra!
Undvik att skicka lösenord över (okrypterade) E-post meddelanden
All E-post vi skickar fram och tillbaka idag är nästan garanterat okrypterad. Detta innebär att allting vi skickar är skrivet i klartext som någon kan läsa om de snappar upp meddelandet när det är på väg till mottagaren. Detta är speciellt illa om man har skickat kontouppgifter och lösenord över E-post meddelandet.
Skicka över 3G/4G nät är lite säkrare då det är svårare att lyssna av dessa nätverk jämfört med t ex. WiFi.
Så som Internet är uppbyggt så funkar det som så att för att ta sig från sändare till mottagare så skickas E-post meddelandet ut från din router till en annan router osv. tills den når sin slutdestination, men på vägen mellan routrarna så mellanlandar E-post meddelandet på en massa servrar som är ägda av diverse individer, företag och organisationer. Vad säger att de inte har möjlighet att titta på datan som passerar deras servrar? Det kan vi inte vara säkra på.
PGP (Pretty Good Privacy) är den enda E-post krypteringen, och den är lite smått klumpig att använda och kräver att båda parterna som kommunicerar med varandra båda använder PGP för att datan i meddelandena ska vara fullt krypterad.
Tips och Teaser för framtida artikel angående E-post säkerhet
Undvik att ange kontoinformation på hemsidor du kommit till från att ha klickat på länk i E-post meddelande. Seriösa företag och tjänster brukar INTE be dig om sådant.
Får du ett E-post meddelande som ber dig besöka en länk för att skriva in kontouppgifter, så är det nästan alltid garanterat lurendrejeri och bör undvikas till 100%.
Om du är osäker kan du prova skriva in adressen till företaget i webbläsaren och besöka deras äkta hemsida, för att se om de fortfarande behöver dig att göra saker där.
Lita inte på instruktioner från E-post meddelande såvida du inte är säker på att det är från rätt källa – vi kommer skriva en artikel som går igenom detta inom kort. [Hur du undviker fake mail och lurendrejeri och bedrägeri över E-post].
Om du har virus i datorn kan virus ibland ha förmågan att manipulera din webbläsare, så även om du skriver in en URL adress, så kanske viruset tar dig till en annan adress.
Så var lite försiktig även här om du fått ett E-post meddelande du var osäker på, och tänkte besöka deras äkta hemsida, har du virus kan det hända att den vidarebefordrar dig till en bedragarsida istället. Bara så du är medveten om att den risken finns under de förhållandena.
Så vad har vi lärt oss om lösenord i denna artikeln
Det är upp till dig hur säker du vill vara, vi har listat många bra tips och råd du kan prova för att se vad du känner funkar bäst för dig.
Vi hoppas du har fått lite bättre insikt och bra tips på hur du ska göra inför framtida lösenordsskapande och hantering 🙂
Vi vill också passa på att Tacka dig för att du tog dig tid att läsa igenom vår artikel, och hoppas du fann den informativ, användbar och hjälpsam.
Lämna även gärna kommentar om du har frågor, feedback eller liknande.
Du får gärna även dela med dig av artikeln till kompisar du tror kan finna den intressant så dess inbäddade kunskap sprids och bidrar till ett säkrare konsumentsamhälle i en tid då riskerna blir allt större och förståelsen för dem minskar.