Varför är starka lösenord viktigt?

Lämna en kommentar / IT-säkerhet
Bild lånad från internetstiftelsen och boken ”Bli säker: IT-säkerhet för alla”. Notera att listans tider är exempel, och förändras med många olika faktorer,

Vikten av starka lösenord ökar i takt med att IT-attackerna i världen fortsätter att öka. Många onlinetjänster och tillverkare av tekniska produkter lägger ner otroligt mycket arbete på att göra sina tjänster så säkra som möjligt. Men det finns en svaghet som många fortfarande lever med, och det är lösenordet.

Tänk dig att du försöker skydda människor genom att bygga en mur runt dem, men du glömde en sak, du gjorde att låset till porten kunde öppnas väldigt lätt. Vilken nytta gör då murarna?

Jag har personligen varit involverad vid flera ganska tråkiga tillfällen då svaga lösenord orsakat skada, ibland i kombination med andra brister. Jag kommer gå igenom ett exempel nedan där ett svagt lösenord leder till att en person får sin mailbox kapad. Denna historian har nog 2 år på nacken men är fortfarande relevant, i dagens läge är attackerna dock betydligt mer sofistikerade och skulle göra mycket mer skada.

Exempel – Stulet lösenord leder till kapad mailbox
En bekant till mig hade samma svaga lösenord till flera av sina tjänster.

En av dessa onlinetjänster råkade ut för ett dataintrång där de som utförde attacken kom över inloggningsuppgifter för flera tusen användare.

De fick inloggningsnamn och lösenorshash för alla dessa. En hash är ett lösenord som blivit krypterat. I vissa fall om det är ett simpelt eller kort lösenord, eller bara svagt krypterat så går det väldigt fort att knäcka en sådan hash och få ut lösenordet i klartext. Det går även i vissa system aldelles utmärkt att använda hashen istället för lösenordet.

I det här fallet så knäcktes hashen, och eftersom den här personen hade samma lösenord till bland annat sin privata mail så tog det inte lång tid innan hackarna tog sig in i personens e-post, och började skicka spam med virus till hela personens kontaktlista. Hur mycket information som de först tankade ner från mailkontot är än idag okänt, men troligtvis togs en kopia av stora delar av mailboxen.

Personen fick flera av sina kontakter infekterade med virus och fick själv sitta och gå igenom sin mailbox alla mail för att hitta allt som var potentiellt värdefull information eller inloggningar som hackarna kunde ha kommit över.

Vad hade hänt om detta hänt idag?
För det första så hade hackarna troligtvis inte försökt att sprida sig så snabbt från mailboxen, de hade först sett till att verkligen garanterat få ut en kopia av allt från ditt konto.

Sedan hade de scannat av om du har några högt värderade tjänster kopplat till ditt mailkonto, exempelvis paypal där det kan finnas pengar. De hade scannat av alla lösenord som finns sparade mailen och försökt att logga in med dessa på diverse tjänster för att få mer information. Sedan hade de inlett någon typ av antingen försäljning av dina personuppgifter, eller direkt identitetsstöld för att försöka få ut pengar eller beställa produkter i ditt namn. De arbetar gärna en längre tid inne i dina konton om de inte riskerar upptäckt. Ibland försöker de till och med registrera om dina tjänster för att helt ta kontroll över din indentitet.

Först i detta läget hade de skickat iväg mail till dina kontakter för att försöka få fler konton att ta över och göra samma sak med. När de gör detta så sätter de ofta även upp en regel som styr alla inkommande mail till papperskorgen direkt, så att du inte ska märka att det kommer massa autosvar eller varningar tillbaka till ditt mailkonto om att du skickar spam. Detta gör att det ofta tar ganska lång tid tills man upptäcker problemet, eftersom man först ska reagera på att man inte får några mail.

Om ni söker en stund på internet så kommer ni hitta många exempel där svaga lösenord orsakat stora problem.

Så vad ska man göra och inte göra just gällande lösenord?

  • Använda lösenordsfraser istället för lösenord
    Lösenordsfraser är när du sätter ihop flera ord och kombinerar med tecken, siffror och stora och små bokstäver. Men du måste inte göra detta särskilt jobbigt, utan längden är det avgörande.

    Som exempel är lösenordet STOR-liten#blir-bra-glass88 ett bättre lösenord i många fall än 20 helt mixade tecken. Det första är 27 tecken, och det andra bara 20. Mängden tecken är viktigare än exakt hur det ser ut, så en lösenordsfras är enklare att säga, komma ihåg och skriva.
  • Använd unika lösenord överallt
    Precis som i exemplet jag beskrev tidigare så finns det stora risker med att återanvända lösenord. Undvik det.
  • Använd en lösenordshanterare
    Ett program där du kan spara alla dina numera starka lösenord. En bra lösenordshanteraren gör det smidigt för dig att skapa, komma ihåg, övervaka och även använda dina inloggningsuppgifter. Det kommer ett annat inlägg där jag jämför och rekommenderar bra lösenordshanterare, men jag kan redan nu nämna att lastpass och 1password kommer vara två av de jag rekommenderar. Bägge gör att allt du behöver komma ihåg är ett lösenord + ha din två-faktorsinloggning, alla andra inloggningar har du i din lösenorshanterare där du även kan spara andra viktiga saker.
  • Skriv inte ner lösenorden där någon annan kommer åt dem
    Den borde vara självklar, men skriv aldrig ner och lämna lösenord där någon annan kommer åt dem. En post-it lapp på skärmen eller under tangentbordet på arbetsplatsen är inte ok. Ett worddokument på din dator är nästan ännu värre. En lapp eller anteckningsbok som du förvarar i en låst låda hemma, skulle faktiskt kunna vara helt ok. Men det finns ju andra risker att du blir av med lösenorden då, och du kommer få skriva av för hand varje gång istället för att kunna kopiera dina lösenordsfraser.
  • Dela inte lösenord via okrypterade mail
    Många mail som skickas är fortfarande okrypterade, vilket också innebär att om du skickar dina lösenord till någon via mail, så kan den som sitter och lyssnar på nätverket läsa det du skickar i klartext. Helst så skicka aldrig användarnamn och lösenord tillsammans.
  • Du behöver inte byta lösenord hela tiden
    Det är faktiskt sant, det här med att vi ska byta lösenord är faktisk dålig säkerhet. Självklart vill du byta om ditt lösenord är utsatt för risk av någon anledning, att det delats osäkert eller företaget där du har lösenordet har haft ett intrång. Men annars leder många byten ofta till dåliga lösenord, istället för att ha ett bra lösenord som får ligga länge.
  • Övervaka dina lösenord
    Med hjälp av din lösenordshanterare eller sidor på internet så som https://haveibeenpwned.com så kan man övervaka sina inloggningsuppgifter och se om de kan ha läckt ut i dataintrång någonstans. Och då få en uppmaning att byta lösenord där.
  • Stäng av lösenordshanteraren i webläsarna
    Många är vana att spara lösenord i exempelvis Gogle Chrome eller Firefox som de använder när de surfar. Det man behöver veta är att det är väldigt enkelt att exportera de lösenorden för någon som tar sig in som admin på en dator. Det går på bara några sekunder så har man exporterat alla dessa lösenord och kan sedan kopiera dem bort från datorn.

Bra källor:
https://internetkunskap.se/it-brott/ar-det-inte-dags-att-bry-dig-lite-mer-om-dina-losenord/
https://insidan.liu.se/it/it-sakerhet/tips-for-ett-sakert-losenord?l=sv
https://www.zdnet.com/article/fbi-recommends-passphrases-over-password-complexity

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *