Listiga lösenord
Alltför många människor ignorerar säkerhetsriskerna med att använda enkla lösenord på nätet. Men om du inte anstränger dig lite för att hitta på kluriga lösenord riskerar du att obehöriga personer får tillgång till din personliga information.
– Ett bra lösenord måste vara lätt att komma ihåg men svårt att lista ut, säger Joseph Bonneau, fil. kand. och kryptografiforskare inom säkerhetsgruppen på University of Cambridge Computer Laboratory. Ett av hans specialområden är autentiseringssystem, vilket bland annat omfattar lösenord, PIN-koder och andra metoder som vi använder för att bevisa vår identitet för en dator.
En effektiv teknik för att skapa säkra lösenord är enligt Joseph att använda meningar som är lätta att komma ihåg.
– Man väljer en fras som man kan komma ihåg, till exempel ’Jag har två systrar och en bror’, vilket kan omvandlas till lösenordet ’Jh2so1b’. Det är ganska svårt att lista ut.
Dåliga lösenord är ofta nära förknippade med ditt användarnamn eller webbplatsen som du besöker. Det är till exempel inte så bra att använda lösenordet ’Facebook’ till ditt Facebook-konto. Du bör heller inte välja lösenordet ’svensvensson’ om din e-postadress är .
Ett av världens vanligaste lösenord är helt enkelt ’password’ (eng. för lösenord). Andra ofta förekommande lösenord är ’123456’ och ’qwerty’, de inledande tangenterna i den översta bokstavsraden på ett vanligt tangentbord.
– Amatörhackare brukar alltid försöka med dessa lösenord, eftersom cirka en procent av alla människor använder dem, säger Joseph.
För att skapa ett säkert lösenord rekommenderar dr. Ann Cavoukian att man använder samma ord på två olika språk och blandar in siffror emellan.
– Eftersom jag är från Armenien använder jag alltid en kombination av samma ord på engelska och armeniska, säger Ann, som är integritetskommissionär på Kanadas dataskyddsmyndighet i provinsen Ontario. Om man sedan sätter en siffra mellan orden och dessutom slänger in ett utropstecken, så får man ett oerhört säkert lösenord. Eftersom man inte använder ord från en ordbok löper man också mindre risk att utsättas för en så kallad ordboksattack.
Vid en ordboksattack testas alla ord i en lång lista, till exempel från en ordbok. Dessa attacker lyckas ofta, eftersom många använder korta lösenord utan siffror emellan, och dessa ord finns ofta med i ordböcker.
Men lösenordets säkerhet beror också på vad det används till.
– När man skapar och använder ett lösenord bör man ta hänsyn till system- och miljömässiga faktorer, säger Ann. PIN-koden som du slår in på bankomaten består visserligen bara av fyra siffror, men den skyddas också av den säkra infrastrukturen runt omkring, som till exempel säkerhetskameror. Dessutom har man bara tre försök på sig innan kortet spärras i systemet.
– Men i de flesta andra situationer, som på hem- eller jobbdatorn, har man inte denna infrastruktur, fortsätter hon. Därför måste användarna ta ansvar för sin egen säkerhet.
Joseph rekommenderar att man delar in sina lösenord efter säkerhetsnivå. För en blogg eller andra ”oviktiga” webbplatser kan man använda ett enkelt lösenord, men för webbplatser med person- eller bankuppgifter ska man alltid använda sitt säkraste lösenord.
Men du kan råka illa ut även om du har svårgissade lösenord.
Joseph berättar att några hackare i vintras lyckades stjäla en databas med 32 miljoner lösenord från den populära spelsajten RockYou.
– Lösenord exponeras hela tiden på grund av den dåliga säkerheten på många webbplatser, säger han. Dessutom använder många människor samma lösenord för flera olika sajter. Det är ingen bra idé – om ditt lösenord avslöjas kan det då användas för att hämta information från flera olika ställen.
– Ett tips är att registrera lösenord på så få platser som möjligt, säger Joseph. Registrera bara lösenord på sajter som du besöker regelbundet.
Alternativet ”Återställ lösenord” som erbjuds på många webbplatser kan också innebära en säkerhetsrisk. Många sajter skickar en ”påminnelsefråga” om du har glömt ditt lösenord. Om du har valt en enkel fråga, som till exempel ’Vilken gata bor du på?’, finns det många personer som kan få tillgång till din information.
Det är också viktigt att du håller ditt lösenord hemligt.
Nätfiske – det vill säga att lura någon att skriva in sitt lösenord på en falsk webbplats – är fortfarande det vanligaste sättet för hackare att ta reda på en användares lösenord. Man bör alltid vara noga med att bara ange sitt lösenord på autentiska webbplatser. Här kan du läsa några tips från Microsoft om hur man känner igen meddelanden eller länkar som skickats av nätfiskare.
Även om vi som privatpersoner måste se till att våra lösenord är bra och säkra, så har företag och organisationer också en skyldighet att skydda sina medarbetares lösenord.
– Det är företagsledningens skyldighet att regelbundet informera personalen om lösenordssäkerhet, säger Ann. Dessutom måste företagets systemadministratör se till att lösenordsdatabasen har högsta möjliga säkerhetsnivå.
Men det kan också uppstå problem om personalen uppmanas att välja svårare lösenord, påpekar Joseph.
– Forskning har visat att nästan alla åtgärder som syftar till att skapa säkrare lösenord, till exempel bestämmelser om att lösenorden måste ha en viss längd eller måste bytas ut med jämna mellanrum, leder till att folk skriver ner sina lösenord eftersom de inte kan komma ihåg dem, säger han. Det förvärrar bara situationen.
Ibland kan det vara irriterande att tvingas tänka ut säkrare lösenord, medger Ann. På många webbplatser används numera säkerhetsmätare för lösenord, vilket innebär att lösenorden bara godkänns om de är tillräckligt säkra. Många användare upplever detta som oerhört frustrerande.
Men enligt Ann borde vi vara tacksamma för att webbplatserna försöker hålla lösenorden så säkra som möjligt.
– En del kanske blir irriterade, men i grund och botten är det positivt, säger hon.
Av Rachel Sa
* Anger obligatoriskt fält
Related images
