Löjsen0wrdet och du!

Correct Horse Battery Staple. Några av er känner kanske igen denna till synes helt osammanhängande sammansättningen av engelska ord? Dessa kommer från den numer skapligt kända xkcd-seriestrippen om just lösenords säkerhet.

Teorin som förs fram är att ”Tr0ub4dor&3” är ett lösenord som är enklare att knäcka för en dator, men svårare för en människa att komma ihåg, jämfört med ”correcthorsebatterystaple” som är ansett som motsatsen. Och även om det råder delade meningar kring säkerheten för dessa olika lösenord så lämnar dem åtminstone oftast kvar några tankar kring ens egna lösenord.

Många av oss är dåliga på lösenord. Alltså, vi väljer att ha samma lösenord överallt, byta ut någon enstaka bokstav eller har det uppskrivet i plånboken. Vi är dåliga på att komma ihåg, hantera och byta ut våra lösenord, och ofta är detta av sammanhängande anledningar. Eftersom nästan var och varannan webbplats idag är med medlems- och inloggningsfunktion så riskerar det att bli många lösenord i omlopp, vilket också är en stor anledning till varför vi ofta väljer att använda samma lösenord för de flesta av dessa.

Utan att gå in på allt för tekniska detaljer så tänkte jag här nedan gå igenom några tips för ett enklare och bättre användande av dina lösenord.
Notera att jag benämner det som ”bättre”, inte ”säkrare”. Säkerheten kan jag inte garantera då det avgörs av fler parametrar än ditt faktiska lösenord. Men bättre är i det här fallet också det samma som säkrare, i mångt och mycket! Dessutom tillåts jag genom ”bättre” att även ta upp underlättande tips.

Notera också att detta inlägg riktar sig till lösenord som vi ”måste komma ihåg” och som vi dagligen eller ofta behöver skriva in.
Det allra bästa är såklart att använda sig av en lösenordshanterare och/eller tvåstegsautentisering (tänk BankID eller liknande), men i vissa fall är detta inte en möjlighet utan lösenordet måste lagras i vårt faktiska minne, och detta UTAN att vi behöver skriva upp dem på en lapp som sitter på datorskärmen.

Nåväl:

• Ha unika lösenord för varje inloggning av vikt.

Om det är en inloggning som på något sätt hanterar, för dig, känslig data så är det extra viktigt att du har ett unikt lösenord.

Om en av tjänsterna där du är registrerad blir hackat, och ditt lösenord blir knäckt, så tvingas du att byta på alla konton där du har samma lösenord och samma inloggningsnamn. Det kan förvisso kännas görbart, men hur skall du veta att ditt lösenord ens är på vift? Ibland tar det månader innan ett intrång ens blir känt, och då kan det redan vara (och är högst troligt redan) försent. Unika lösenord skyddar dig mot detta.

• Bygg upp en struktur för hur dina lösenord är utformade, anpassat efter användningsområde.

En struktur som du kan memorera och minnas är ”enda möjligheten” för dig att kunna använd ett nytt lösenord för varje inloggning.
Ett exempel på struktur för en webbplats du ofta besöker via en webbläsare i datorn, och som är av känslig karaktär kan vara:
Ett slumpartat ord, en sifferkombination, en symbol samt en unik identifierare för webbplatsen.

  • Det slumpartade ordet kan vara samma för en viss typ av sida. Exempelvis kan alla sociala medie-sidor har ordet ”lyktstolpe”, osv.
  • Sifferkombinationen kan vara din skostorlek.
  • Symbolen kan vara ett plustecken.
  • Den unika identifieraren kan vara första bokstaven på domännamnet samt toppdomänen (.se .com .nu osv) som versaler.

Ovanstående exempel skulle för mig alltså ge följande lösenord för mitt facebook- respektive lunarstorm-konto: lyktstolpe45+FCOM (lyktstolpe45+FCOM) respektive lyktstolpe45+LSE. Två för de olika webbplatserna helt olika lösenord, men för mig enkelt att komma ihåg och skilja på.

Fördel: Enkelt att komma ihåg och med bra säkerhet.
Nackdel: Förhållandevis krångligt att skriva in på en mobiltelefon.

Om lösenordet är för mindre viktiga, och framförallt okänsliga sajter så som forum eller liknande kan strukturen vara:
Ett slumpartat ord samt en unik identifierare för webbplatsen.

  • Det slumpartade ordet kan vara tunnelbana.
  • Den unika identifieraren kan vara typ av sajt samt två första bokstäverna i domännamnet som gemener.

Detta skulle innebära att lösenordet för flashback forum skulle vara tunnelbanaforumfl (tunnelbanaforumfl).

Fördel: Enkelt att minnas och att skriva in, inte minst i telefonen.
Nackdel: Innehåller inte ”specialtecken” eller bokstäver, vilket ibland är ett krav.

• Använd inte vanligt förekommande ord, årtal eller fraser.

Det känns som alltid väldigt basic när man pratar om lösenord att man inte skall använda sig av sitt personnummer, ett känt (ofta nuvarande) årtal eller en vanlig fras, men ändå så toppas oftast olika läckta lösenordslistor av samma typer av lösenord. ”Password123”, ”topsecret” eller ”123456” är några exempel.

Se till att orden du använder inte är vanliga, eller för den delen gärna på annat språk än engelska. Om du dessutom avsiktligen väljer att stava ordet fel så ökar du i teorin säkerheten ytterligare. Dessutom kommer du ofta och enkelt ihåg en felstavning, eftersom det sticker ut.

Notera dock att vanligt förekommande ändringar så som ”0” istället för ”o”, ”3” instället för ”e” osv inte är en bra ”felstavning”.
Det s.k. l33tspeek är vanligt förekommande, både bland lösenordsknäckare och personers medvetande. Då är istället jullgrannskulla ett bättre alternativ.
En kombination av språk kan också fungera bra. Exempelvis coffeekopp.

• Använd dig av saker du ser i lokalen där du ofta befinner dig.

Kanske har du en lyktstolpe utanför kontorsfönstret? Eller en tunnelbanestation precis bredvid? Dessa kan vara enkla för dig att komma ihåg, och således också underlätta för dig när du sitter där och funderar på vad det nu var du hade för lösenord.

• Undvik personliga referenser, framförallt om du valt en enkel lösenordsuppbyggnad.

Att lösenordet skall vara svårt för en dator att knäcka är en femma och för din arbetskollega en helt annan. Människan tänker annorlunda än en uträknande maskin. Detta innebär att ditt lösenord också måste vara säkert för den som kan lära känna dig och veta hur du tänker. Att använda namnet på ditt barn som lösenord är därför långt ifrån optimalt.

• Byt dina lösenord med jämna (vissa) mellanrum.

Det må vara jobbigt och kräver en viss mängd arbetsinsats, men det är ett bra sätt för att öka säkerheten kring dina inloggningar.
Men gör det inte för ofta. Då riskerar du att inflammera din egen struktur och det blir då strax lika rörigt som om du slumpade alla lösenord.

Med byte av lösenord syftar jag inte på att öka en siffra eller lägga till en bokstav, utan snarare att sätta sig ner och ta fram en ny lösenordsstruktur.
Och, eftersom du nu vet hur du kan tänka för att ha olika struktur för olika typer av sajter så kan du ju byta på dem i sjok. Då blir inte processen lika krävande, och du minskar också risken för att du i slutändan blandar ihop alla de olika lösenorden du har.

Läs också: Ensam om att kunna ditt lösenord?