SVT kom igen, berätta något som jag inte redan visste om mitt lösenord

av | nov 30, 2016

Geir V. Hagen är utvecklare på Purple Scout och i den här artikeln ger han dig åtta handfasta tips för hur du enkelt skyddar dina inloggningsuppgifter. Och så berättar han varför han inte är särskilt imponerad av SVTs senaste hacker-nyhet.

 I slutet på november 2016 gick SVT ut med att de med hjälp av en hacker kommit över en stor mängd inloggningsuppgifter – ”Har vi ditt lösenord?” https://dold.svt.se/

Om man tittar på Troy Hunts sida https://haveibeenpwned.com så finns det inga nya kända hot i världen vid den här tiden, som stämmer överens med att det skulle vara något nytt som SVT har kommit över. Antagligen härstammar SVTs story från DropBox- och LinkedIn-hackningarna 2012. SVTs reportage om hackade inloggningsuppgifter är med andra ord snarare att betrakta som en fingervisning om att det finns mycket läckt information där ute (och att du nog bör byta dina lösenord) snarare än en nyhet.

En sak som är bra att ha i åtanke är att de stora aktörerna inte sparar ditt lösenord i klartext, utan att det kommer att bli hash:at via en algoritm. Det vill säga att lösenordet ”password”till exempel blir ”H33sd3Fs1lf78lidhhw5” efter att man har hash:at det. Det försvårar för hackare att få fram det riktiga lösenordet, men gör det på inget sätt omöjligt för dem. Det är därför vi som användare måste vara lite smartare.

Åtta saker som många gör fel när det skapar sitt lösenord:

1. Längden har betydelse

Tumregeln är, ha hellre ett långt lösenord än ett komplext. Ett bra lösenord är minst 12-15 tecken långt. Stor bokstav, symboler eller siffror i lösenordet är bra, men om du istället gör lösenordet två tecken längre så kompenserar det för ett specialtecken.

Så när du skapar ditt lösenord, gör det hellre längre och lättare för dig att komma ihåg än att krångla till det med att lägga in stora bokstäver och symboler (vilket bara gör det svårt för dig att minnas).

2. Gör en specialare med dina specialtecken

Många sidor kräver att ditt lösenord skall innehålla en stor bokstav, en siffra eller ett specialtecken. Då är det viktigt att tänka på att inte lägga dessa specialtecken i början eller slutet på ditt lösenord. Hackare jobbar nämligen med prediktionslistor, alltså listor över hur de flesta personer brukar skapa sina lösenord. Det vanligaste när användare är tvungna att ha ett lösenord med stor bokstav och ett numeriskt tecken i, är att det ser ut så här: ”Password1”. Man börjar med stor bokstav och avslutar med en siffra. Om ett lösenord måste innehålla specialtecken, lägg dem då istället i mitten av ditt lösenord, till exempel ”paSsw0rd”.

3. Var inte som alla andra

Ramla inte i den klassiska Metallica-fällan. Använd inte populära saker som lösenord, som till exempel bandnamn eller stora varumärkesnamn som ”CocAcoLa”. När det kommer till lösenord gäller det att vara originell. Tänk också på att välja lösenord som inte kan förknippas med dig och din omgivning eller välj möjligen något som bara ett fåtal människor känner till om dig. Eller ännu bättre – något som är din raka motsats.

4. Ajabaja – inte återvinna

Du har nu skapat det perfektalösenordet genom att följa varenda råd om hur ett riktigt smutt lösenord skall skapas, så nu använder du ditt nya lösenord överallt. Det är en jättebra idé – om du vill bli hackad. Det räcker att en av sidorna som du använder ditt perfekta lösenord på har ett dåligt system för kryptering av lösenord så kommer ditt perfekta lösenord förmodligen att komma på vift ganska snart. Med andra ord – när du använder samma lösenord på många sajter så är ditt lösenord inte säkrare än den sämsta platsen du väljer att använda det på.

5. Byt inte lösenord för ofta

Ja, du läste rätt. Om du är IT-ansvarig på ditt företag, tvinga inte användarna att byta lösenord för ofta. Det kommer bara leda till att användarna väljer riktigt simpla lösenord som är lätta att hacka. När man är tvungen att hitta på nya lösenord var tredje månad så kommer man antagligen bara att ändra en siffra i slutet av sitt lösenord från “Password1”till ”Password2” osv. Så låt användaren ha sitt långa, unika och smarta lösenord ifred.

6. Skaffa dig en lösenordskompis

Låt en lösenordshanterare bli din bästa vän. Idag finns det många olika och de allra flesta kan synkronisera mellan olika enheter så att du alltid, enkelt kan ha ditt lösenord till hands. Dessa lösenordshanterare har också lösenordsgeneratorer som hjälper dig att ta fram nya lösenord. Där kan man oftast ställa in till exempel längd och om det skall finnas siffror eller symboler med i det genererade lösenordet. Samt om du vill att lösenordet skall gå att uttala. En smart funktion för oss vanemänniskor, så att man inte hamnar i fällan där man kör samma lösenord på flera ställen. https://www.enpass.io och https://www.lastpass.com är två exempel på fiffiga lösenordshanterare.

7. 2FA 4-life

2FA står får two factor authentication. BankID är ett exempel på detta. Det är kort och gott en extra enhet knuten till dig som användare där man måste göra en extra verifikation för att kunna logga in. 2FA finns även i andra utformningar där du får ett sms till det telefonnummer som ditt konto är knutet till. Sms:et innehåller en kod som i sin tur måste uppges. Eller så kopplar användaren sitt konto till en kodgeneratorapp på sin telefon som genererar en ny nyckel varje 30:e sekund. Olika aktörer använder sig av olika lösningar. Eller tillhandahåller flera typer av dessa 2FA lösningarna.

Att slå på 2FA på sitt konto gör kontot nästan 100% säkert. Hur man slår på det och om de system som man använder stöder 2FA kan man enkelt kolla på: https://twofactorauth.org

8. Ha hack-koll

Ta ansvar för dina lösenord och se till att ha koll på om du har blivit hackad via till exempel säkerhetsexperten Troy Hunts sida https://haveibeenpwned.com eller https://leakbase.pw. På dessa sidor kan du söka ifall du har blivit hackad eller lägga in så att du får notifikationer om ditt användarnamn eller din mejladress skulle förekomma i läckta hackningar i framtiden.

Pin It on Pinterest