Tips om lösenord

Den här texten ingick i GodTid nr 3 2017 och här är mera information och några länkar med samma tema

It-biten i GodTid #3

De flesta av oss som använder dator har säkert funderat på hur man hittar på ett lösenord som är tillräckligt svårt för att ingen annan ska kunna lista ut det men ändå möjligt för en själv att komma ihåg.

Lösenordens funktion

Mycket av datoranvändandet bygger på användning av nättjänster där man loggar in, dvs. skriver in sig genom att uppge ett namn (ofta en e-postadress) för att identifiera vem man är och ett lösenord för att bevisa att det verkligen är man själv. Exempel på sådana nättjänster är allt från epost och Facebook till nätbutiker och tjänster för att se tv-program.

Inloggningen behöver skyddas med lösenord eftersom vem som helst i världen annars kan komma åt din identitet i den aktuella tjänsten och exempelvis kan utge sig för att vara du i olika situationer, ofta för kriminella ändamål.

Nätbanken och liknande tjänster, till vilka det är speciellt viktigt att endast rätt person har tillgång, använder så kallad tvåstegsverifiering. Då behöver man förutom lösenordet också en kod som skickas till mobiltelefonen eller som man får från en app eller från ett nyckeltalskort. Det gör att de här är mycket säkrare och svårare för en brottsling att komma åt. I annat fall är det enbart lösenordet som står mellan en brottsling och din identitet i den aktuella tjänsten. Därför måste lösenordet vara svårt.

Tre saker att undvika

I huvudsak finns det tre sätt för en brottsling att gissa ett lösenord: Det första är att ta reda på personlig information om dig som du kanske använt i lösenordet, det andra är att pröva ett stort antal slumpvis skapade lösenord och det tredje är att pröva samma lösenord som du använt annanstans.

För att göra det första alternativet svårt ska du undvika att bygga upp lösenordet kring personlig information, exempelvis din frus/mans/barns/husdjurs namn kombinerat med årtal då ni träffades/gifte er/barnen föddes. Om du använder Facebook kanske du själv skrivit in och delat all den här informationen där. Uppenbara saker att undvika är alltså sådant som en brottsling kan gissa sig till via information om dig.

Att undvika att man gissar ett lösenord genom att gå genom ett stort antal olika kombinationer av ord eller bokstäver är mera matematik eller sannolikhetskalkyl. Därför ska du undvika att en brottsling kan knäcka ditt lösenord genom att exempelvis låta en dator pröva varje ord från en ordlista i tur och ordning eller från en lista över de vanligaste lösenorden.

I många fall reagerar nättjänsten på ett stort antal gissningar genom att blockera tjänsten, men det hindrar tyvärr inte brottslingarna som gör gissandet mot listor med lösenord som läckt eller stulits från företag där du är registrerad. När lösenordet är knäckt använder de samma e-postadress och lösenord för att försöka komma in på andra tjänster. Den tredje saken att undvika är därför att använda samma lösenord på flera ställen.

Så här långt kan det tyckas att det bara blivit krångligare. Du kanske har ett för lätt lösenord och använder det på många ställen; läs i så fall vidare om vad du kan göra.

Ju längre desto bättre, fraser är bäst

Ett längre lösenord är alltid bättre än ett kortare. Det grundar sig som tidigare nämnts på matematik, då varje tecken du lägger till gör lösenordet tryggare i takt med att antalet försök som krävs för att gissa det ökar. Det är enligt de källor jag använt (se länken i slutet) tryggare att använda ett långt lösenord som klementinrobotgurka än ett kortare men slumpvis valt som !dhLkd4k. Det beror direkt på längden (och på svenska språkets ovanlighet, engelska ord är betydligt osäkrare). Många tabeller och ordlistor som används för att knäcka lösenorden innehåller främst 8 tecken långa lösenord eftersom det ofta är minimilängden som nättjänsten kräver och folk därför ofta håller sig till dem.

Om du i likhet med exemplet ovan kan kombinera några osammanhängande ord eller bygga upp en fras som inte bygger på någon personlig information om dig, men som du ändå kan minnas med hjälp av en minnesregel, kan du skapa ett långt och mycket svårt lösenord. Lösenfraser på svenska är alltså bättre än lösenord.

Hur många lösenord ska man kunna komma ihåg?

Även om du lyckas skapa en lång lösenfras som du klarar av att komma ihåg, kvarstår problemet att du behöver en mängd sådana för att inte använda samma lösenord på flera ställen.

Många av er kanske skriver upp era lösenord på lappar och undrar om det är tryggt. I de flesta fall är det bättre att ha ett långt och svårt lösenord som är uppskrivet på en lapp än att ha ett kort och lätt som du kommer ihåg.

En möjlig lösning är också att använda de hjälpmedel som finns på datorn för att komma ihåg lösenord. Då du med datorn loggat in till någon nättjänst kanske du fått frågan om du vill att den ska komma ihåg lösenordet för dig. Frågan dyker ofta upp i en liten ruta på skärmen eller nere i kanten av webbsidan. Om du svarar ”ja” på frågan fylls lösenordet automatiskt i nästa gång. Motsvarande lösningar finns för pekdatorer och smarttelefoner. Om du använder epost eller Facebook och inte behöver uppge lösenord för att komma in är det av den här orsaken: Du har ett lösenord, men datorn, webbläsaren eller appen fyller i det automatiskt.

Nättjänsterna kan nås av brottslingar från hela världen medan antalet brottslingar som kan komma åt din lapp eller din dator åtminstone är betydligt färre.

Båda de här sätten är tillräckligt trygga och kan användas, men det är ändå avgörande för säkerheten att ha en kod eller ett lösenord för att komma in på datorn och att tänka på var den eventuella lappen förvaras. Ett råd som jag nämnt i en tidigare kolumn är att förvara lappen med lösenorden i plånboken. Du märker antagligen snabbt  att plånboken försvunnit och kan reagera snabbare än då lappen försvunnit från byrålådan.

Tips för de som bara kommer ihåg ett lösenord

För att vara säker tycker jag att du ska hitta på ett långt lösenord i form av en lösenfras och memorera den. Den ska du använda till den viktigaste tjänsten, nämligen eposten.

Till allt annat ska du använda långa och svåra lösenord eller fraser, men låta datorn sköta om att minnas dem eller vid behov skriva dem på en lapp. Om du tappar bort din dator eller får en ny dator, men kommer ihåg lösenordet till e-posten, kan du i de flesta fall med hjälp av e-posten återställa alla andra lösenord (med ”Glömt lösenordet?” eller någon liknande knapp i de andra nättjänsterna).

När du byter lösenord, speciellt till e-posten, ska du göra det övervägt och ta tid på dig. Om du glömmer det nya lösenordet kan det nämligen vara omöjligt också för dig själv att komma in.

Mera information om lösenord

På HBL-bloggen okrypterat finns en beskrivning av varför lösenfraser är bättre än lösenord:

 

Om du vill testa hur svårt ett lösenord är att hacka, kan du testa det via Yles digiträning. Men använd för säkerhets skull inte dina riktiga lösenord utan hitta på ett liknande för teständamål.

En utmaining är att du kan pröva dig fram och försöka hitta på ett lösenord som du kan komma ihåg men som tar en brottsling mera än 100 år att komma fram till.

ANNONSER