Största delen digital information är nuförtiden bakom lösenord. Nästan all information från e-post till underhåll är skyddade bakom lösenord. Också största delen av bitcoins skyddas med lösenord. Ofta är lösenordet det enda sättet att skydda sig. Bra lösenordspraktik är därför nödvändigt med tanke på datasäkerhet. I den här guiden berättar vi kort hur det lönar sig att skapa och administrera bra lösenord.
För att lösenordet kan räknas som bra måste den fylla några kriterier. Lösenordet måste vara tillräckligt långt och komplicerat så det inte är möjligt att gissa det. Samtidigt bör det också vara sådant att man själv kan komma ihåg det. Dessa två krav är utgångsvis motstridiga med varandra. Ju lättare man kommer ihåg ett lösenord desto lättare kan man ofta bryta det.
Lösenordets kvalité mäts med entropi, alltså tecknens komplexitet och slumpmässighet. I teckenraden “abcd” finns det inte just alls entropi, medan teckenraden “Kdh36jdW” är redan märkbart entropisk. Flera webbsidor mäter lösenordens entropi och informerar användaren ifall lösenordet är tillräckligt högklassig.
Lösenordets entropi växer bl.a. genom att tillägga stora bokstäver och nummer till lösenordet. Ju mer olika tecken är i bruk, desto svårare blir det att gissa lösenordet. Redan stora och små bokstäver fördubblar mängden tecken och gör sålunda lösenordets gissande ungefär tusen gånger svårare.
Trots att många tjänster särskilt förutsätter stora och små bokstäver samt nummer, är redan lösenordets längd det allra bästa sättet att förbättra lösenordets säkerhet. Varje tecken gör möjliga alternativen mångfaldiga, och ett bra lösenord behöver inte nödvändigtvis innehålla en enorm mängd olika tecken.
Lösenordet är ett av moderna digivärldens grunder, men ändå gör många fruktansvärda misstag.
Att forma ett bra lösenord med ord
Man har skapat olika tekniker för att utveckla och minnas lösenord utan att det blir för svagt. En metod som ofta används är att skapa lösenordet genom att kombinera fem eller sex ord som inte är anknutna till varandra. Ett sådant lösenord skulle alltså exempelvis vara “GråttaButikParkVädringHögtalare”.
Datorn förhåller sig till ett sådant lösenord på samma sätt som en slumpmässig lång rad tecken, varmed det är väldigt svårt att bryta lösenordet. Däremot för människor är det mycket lättare att minnas fem ord än komplicerade bokstavs- och nummerkombinationer.
Trots att denna metod anses vara ett lätt allmänt sätt att skapa lösenord, har den också sina brister. Lösenord som gjorts med ord kan brytas genom så kallade ordboksattacker, dör datorn prövar olika ordkombinationer istället för olika bokstavskombinationer. Dessutom har människor en psykologisk vana att använda liknande ord eller ordkombinationer.
Det är ändå möjligt att förbättra säkerheten av ordbaserade lösenord med några enkla trix. Ifall lösenordet använder ord från flera olika språk, gör det största delen ordboksattacker oanvändbara. Finländare har lyckligtvis ofta åtminstone tre olika språk, varav två är väldigt sällsynta. Genom att använda finska, svenska och engelska blandat blir ordboksattacker nästan omöjliga. Att välja ord på riktigt slumpmässigt genom att t.ex. öppna ordboken från några slumpmässiga ställen kan vara ett bra sätt att förbättra lösenordets psykologiska säkerhet.
Ett exempel på ett bra lösenord format med ord skulle vara: “LiikeCoatSulakeBriefcaseDenGliderIn”.
Använd dikter eller sånger som våra förfädrar
Människor minns lättare berättelser än slumpmässiga teckenrader. Vår art har utnyttjat denna egenskap redan före skrivkonstens uppfinning, då information flyttades och förvarades genom att skapa sånger och berättelser. Det är mycket lättare att komma ihåg “För länge sedan i en galax långt, långt borta…” än “XblId82Yz?!”
Den här egenskapen är också bra för att skapa lösenord. Ett bra lösenord med en till synes slumpmässig teckenrad kan skapas på bas av olika dikter genom att använda olika algoritmer.
Ifall man från dikten tar varje ords första och sista bokstav får man en bokstavskombination som i sig är väldigt svår att minnas. Ifall du ändå minns dikten och hur du använt den, kan du alltid återhämta ett komplicerat lösenord i ditt minne. Låt oss som exempel använda Stjärnornas Krigs kända början, som skulle skapa bokstavskombinationen “Flsiegllb”.
Längre diktbitar skapar förstås längre lösenord:
“Den glider in
i mål igen
Vi ska kämpa
vi ska ge
alt det vi har
vi ska ta
guld igen”
Från den här klassikern skulle man redan få ett längre och mer komplicerat lösenord: “dngrinimlinvisakavisageatdtvihrvisatagdin”. Ta nu och försök gissa ett sådant lösenord, eller ens minnas det. Om du ändå levde år 1995 i Finland så minns du kanske låten ända till graven.
De här två är naturligtvis bara exempel. Ifall du väljer att använda metoden så bär det att försäkra att ditt lösenord inte grundar sig på någon allt för känd dikt, sång eller stycke. U2:s hitlåtar är mycket mer kända än t.ex. någon diktsång från Kalevalas knullritualer.
Framstående händelser, upplevelser och berättelser blir i människors minne bättre än oklara bokstavskombinationer.
Det finns program för lösenords uppehåll
Ett sorgligt allmänt dataskyddsproblem är att många använder samma lösenord eller nästan samma lösenord på flera olika platser. Det här är naturligtvis lätt, men i praktiken ökar det riskerna betydligt. Ifall en enda av dessa tjänster blir hackad och användardata läcker på nätet, betyder det att hackarna efter det kan tränga sig in på alla konton och sajter där du använder samma lösenord.
Med tanke på bra dataskydd är det nödvändigt att man använder olika lösenord särskilt i sådana tjänster som man upplever mest viktiga. Fastän flera platser tillåter samma lösenord eller samma lösenords olika variationer, lönar det sig i viktigaste tjänsterna att välja klart olika lösenord.
Nuförtiden skapas det oundvikligt enorma mängder nya lösenord hela tiden. Eftersom bra dataskydd förutsätter att dessa lösenord är tillräckligt olika, kan flera lösenords uppehåll vara krångligt. Som lösning till problemet finns det flera olika sk. nyckelprogram, som lagrar lösenord för användaren. Användaren behöver endast minnas ett sk. “huvudlösenord”, varmed hen kan få tag på alla andra lösenorden. Flera av dessa program kan också automatiskt skapa extremt komplicerade och hållbara lösenord.
Det allra mest kända och använda programmet är LastPass. LastPass lagrar lösenordet i datormoln, varmed användaren får tag på dem från vilken som helst dator, bara hen minns sitt LastPass-lösenord. LastPass kan användas via smarttelefon och webbläsare kan ladda ett skilt LastPass-tillägg.
Med LastPass måste man ändå beakta några viktiga saker. LastPass grundar sig på stängd kod, alltså vet ingen exakt vad systemet har ätit. Dessutom lagrar LastPass lösenorden i datormoln, vilket betyder att lösenorden är fysiskt lagrade på utomstående hårddiskar. LastPass har inte heller haft en särskilt bra historia, utan systemet har flera gånger blivit offer för hack och lagrade lösenorden har läckt på nätet.
LastPass är ett bra och behändigt verktyg, men i fråga om allra viktigaste lösenorden bär det sig att vara försiktig. Skulle du t.ex. lagra dina hemnycklar hos någon okänd persons förråd om du visste att personens förråd konstant vistas av tjuvar? Knappast. Därför finns det bättre och betydligt säkrare alternativ till LastPass, som också passar för viktigare lösenord.
Mest kända alternativet torde vara KeePassX. KeePassX fungerar externt på väldigt liknande sätt som LastPass, men den har flera fördelar som gör den betydligt tryggare.
KeePassX lagrar lösenord lokalt på din egen hårddisk, minnessticka eller annan lokal lagringsapparat. Därför är KeePassX inte på samma sätt utsatt för hack, och ingen kan få dina lösenord genom att intränga sig på någon yttre tjänst, såsom LastPass. En annan bra aspekt med KeePassX är att programmet grundar sig på öppen kod. Alla kan alltså kolla hur problemet fungerar och det har inga svagheter eller andra problem. KeePassX lämpar sig också utmärkt för mer värdefulla lösenords lagring.
Nyckelprogram är ett ypperligt sätt att öka datasäkerhet och administrera stora mängder lösenord. Det lönar sig ändå att minnas allra viktigaste lösenorden så att man kan använda dem också utan nyckelprogram.
Med bra lösenordspraktik kan du skydda dig själv och din egendom. Redan med några enkla grundprinciper kan du minska risken att någon skulle tränga sig in på ditt konto och stjäla dina bitcoins eller använda din e-post för att skicka penisbilder åt hela din vänlista. Med ett bra lösenord är du trygg, men utan ett bra lösenord kan din information läsas av vem som helst som bemödar sig tillräckligt.
Det bär sig att betrakta lösenord som hemnycklar, eftersom lösenordets betydelse börjar vara större än fysiska nyckelns.
Skriven av Jiri Keronen, översatt till svenska av Robin Nyberg.
