Längre bättre än komplext - så skapar du säkra lösenord

Enligt en undersökning från IT-säkerhetsföretaget Trend Micro använder  varannan svensk samma lösenord på flera olika onlinetjänster. Dessutom är det många arbetsplatser som ger otillräcklig information om hur deras anställda ska göra för att skapa säkra lösenord. 22 procent av de tillfrågade uppger att de inte har fått någon information om hur lösenord bör utformas och får styra helt själva över sina lösenord, både vad gäller längd och innehåll.– Det är inte helt intuitivt vad som är ett starkt lösenord. Det har visat sig att ett längre lösenord är många gånger säkrare än ett mer komplext, säger Daniel Boström som är senior tekniker på Telia IT-avdelning som tjänst.

Hellre långt än komplext

Ett lösenord som är elva tecken långt med versaler, gemener och siffror tar tre år att knäcka. Vill man förbättra det kan man öka komplexiteten eller längden. Genom att byta ut ett av de elva tecknen mot en symbol tar det 30 år att knäcka lösenordet. Men lägger man istället på en extra bokstav eller siffra så att lösenordet blir tolv tecken långt ökar tiden från tre till 200 år. – Det är viktigt att komma ihåg att det här är levande information; datorer blir ju mer och mer kraftfulla för varje år och kan därför knäcka lösenord snabbare, men just nu skulle jag säga att ett lösenord med minst tolv tecken är bra. Och som sagt; hellre fler tecken än ökad komplexitet, säger Daniel Boström.

Undvik personlig information

När du konstruerar ett starkt lösenord är det viktigt att det inte innehåller några ord som går att koppla till dig eller företaget du jobbar på.– Sådan information kan hotaktören få fram genom att skanna din sociala medie-aktivitet och sedan bygga ihop olika lösenordsvarianter med artificiell intelligens, säger Daniel Boström.  Att knäcka lösenord handlar inte om att försöka logga in på en sajt om och och igen med en massa olika lösenordskombinationer. Oftast har sajter och tjänster skydd mot ett visst antal inloggningsförsök per tidsenhet. – I de allra flesta fall handlar det om så kallade offline-attacker; en lösenordsdatabas läcker ut och en hotaktör kan i lugn och ro attackera databasfilen hur många gånger som helst för att få ut användaruppgifter, säger Daniel Boström.

Flera faktorer bättre

Idag blir något som heter multifaktorautentisering, MFA, allt vanligare. Det innebär att användaren autentiserar sig med hjälp av fler faktorer än bara användarnamn och lösenord; vanligen genom något som användaren har, exempelvis en app i telefonen, en engångskod via sms eller en usb-dongle.– MFA är ett enkelt och effektivt sätt att höja sin säkerhet markant med små medel; istället för att hotaktören kan sitta på andra sidan världen och försöka hacka ditt konto måste de komma över något som du fysiskt innehar, säger Daniel Boström. Men bara för att du implementerat MFA ska du inte börja slarva med lösenordskomplexiteten, varnar han:– Jag vill påstå att det är viktigt att ha bra lösenord för att förekomma social engineering-attacker. Om lösenordet är enkelt kan en hotaktör knäcka det och sedan kontakta användaren vid MFA-frågan. Hotaktören kan antingen spamma användaren så att användaren råkar godkänna, eller ringa ett telefonsamtal som handlar om något annat och så råkar man godkänna inloggningen.

Lösenordshanterare

Unika lösenord för varje sajt? Minst tolv tecken per lösenord? Om du följer Daniel Boströms rekommendation för alla dina tjänster och applikationer är det i praktiken ett måste att använda en lösenordshanterare. Telia erbjuder en lösenordshanterare för företagskunder som har tjänsten IT-avdelning, men det finns flera andra på marknaden. Två populära exempel är 1password och LastPass, men både OSX, Google Chrome och Windows webbläsare Edge har lösenordshantering inbyggt.  Även om du använder en lösenordshanterare som både genererar och sparar alla dina lösenord måste du vara noga med att skapa ett bra och säkert lösenord till själva lösenordshanteraren. Och skriv inte upp det på en post-it-lapp du sätter på skärmen!