Säkerhetsexperten Mattias Nygren hjälper dig få ett bättre system för dina lösenord, så att du slipper råka illa ut på nätet.
Våra liv utspelar sig numera i stor utsträckning online. Vi handlar kläder, böcker och prylar, streamar filmer och musik, skickar e-post, delar bilder och meddelanden i sociala medier, betalar räkningar, ansöker om föräldrapenning, och mycket mer. För allt detta finns onlinetjänster i någon form, och för alla dessa tjänster behöver vi kunna identifiera oss.
För att identifiera oss på en webbsida behöver vi vanligtvis ange ett användarnamn och ett lösenord. I vissa fall har vi en fysisk enhet (till exempel en mobiltelefon eller ett bankkort) som kräver en PIN-kod. I mobilen har vi ett BankID där vi måste mata in en verifieringskod.
Hur många koder, lösenord, säkerhetsfrågor och andra inloggningsuppgifter har du? Några exempel som du kanske känner igen:
- AppleID och iCloud
- Gmail/Google Apps
- Hotmail
- Snapchat
- Internetbanken
- Försäkringskassan
- Hem-/bil-/sjuk-/olycksfallsförsäkringen
- Pensionsbolag
- Livsförsäkring
- Aktiedepå
- Spotify
- Netflix
- Mataffären/Matkassen
- Flygbolag
- Taxibolag
- Bokhandel
- Kläder och skor
- Apoteket
- Online-dating
- Spel och dobbel
- Routern till hemmanätverket
- Surfplatta – lösenkod till enhet, eventuell PIN och PUK till SIM-kort
- Kod till hemlarmet
- WiFi-lösenordet hemma
- Bank- och kreditkort – PIN, CVV-kod, SecureCode/3DSecure för online
- BankID
Och då har vi inte ens pratat om alla användarkonton, lösenord och koder på jobbet. VPN, intranät, HR-portalen, CRM-systemet, andra affärssystem…
Vi har numera dussintals olika konton för tjänsterna vi använder för allehanda syften. ”Nyckeln” till varje tjänst är ett användarnamn och ett lösenord. Redan här behöver vi alltså hålla reda på väldigt känslig information.
Användarnamnet är i många fall en e-postadress. Den är kanske inte så känslig i sig, men blir det om någon också tar reda på det tillhörande lösenordet. Lösenorden låser upp våra konton och ger oss, men även andra personer, tillgång till det vi har lagt in i respektive tjänst.
Om vi tar listan ovan kopplar vi lite information till varje tjänst. Bedöm själv om du tycker att informationen är känslig eller inte?
|
Tjänst |
Information |
| AppleID och iCloud | namn, postadress, telefonnummer, inköpta appar, kreditkortsuppgifter i iCloud: backuper av telefoner, surfplattor, datorer (dokument, adressböcker, bilder, mail) |
|
Gmail/Google Apps, Hotmail |
e-post, kalenderuppgifter, adressböcker, too do-listor, kreditkortsuppgifter, anteckningar |
|
Snapchat |
kompislistor, bilder, meddelanden (delvis privata som ingen annan ska kunna se), chatt, statusuppdateringar |
|
Försäkringskassan Hem/bil/sjuk/olycksfalls-försäkringen Pensionsbolag Livsförsäkring |
personuppgifter (egna och övriga familjen), avtalsnummer, adresser, inkomstuppgifter, finansiell information om privatekonomi |
| Internetbanken
Aktiedepå |
mycket finansiell information, personuppgifter, kontouppgifter, bank- och kreditkort, inkomster och utgifter |
| Spotify
Netflix |
personuppgifter, spellistor,
kreditkortsuppgifter, annan kontoinformation (bl. a. kompislistor) |
Tyvärr är vi människor inte vidare bra på det där med lösenord som vi själva har hittat på. Några exempel:
- ”Sommar2015!” uppfyller alla krav enligt ovan men är ett för övrigt alldeles för enkelt lösenord eftersom det är lätt att gissa. Ordet ”Sommar” förekommer i en ordbok, 2015 pekar på årtalet då lösenordet skapades, och ”!” är det vanligaste specialtecknet.
- ”AIKÄrBäst2Lax9” faller under kategorin ”laget jag hejar på” + ”ett år då laget tog guld”. Att ersätta ”2009” med ”2Lax9” förbättrar inte lösenordet avsevärt eftersom guldfirandet stod just under detta motto, vilket är lätt att ta reda på.
- ”4maz0n_p4ssw0rd” ser på pappret ok ut men är det inte. System som är specialiserade på att knäcka lösenord har det inbyggt som grundrutin att ersätta vissa bokstäver med siffror. Dessutom består lösenordet av två ord som förekommer i ordböcker eller innehåller ett produktnamn.
Om vi tror att vi har hittat ett bra lösenord, så använder vi det på många olika webbsidor. ”jocke_är_en_best_hv71” blir plötsligt ”huvudnyckeln” till Gmail, Twitter, AppleID och två-tre andra konton.
Detta kan medföra en olycklig dominoeffekt: råkar en av dessa tjänster ut för ett intrång där lösenord kommer på avvägar är alla andra konton med samma lösenord i riskzonen.
Vi har alltså följande situation:
- många användarkonton
- mycket känslig information som är kopplad till dessa konton
- lösenord som inte utgör ett tillräckligt bra skydd för konton.
Detta medför ett antal risker för oss om obehöriga får tillgång till våra användarkonton:
- ID-stöld, följd av bedrägerier
- finansiella förluster
- informationsläckage – pinsamheter, men även information om andra än oss (barn, släktingar, vänner)
- trakasserier, stalking, hot
- utpressning
- Informationsförlust (bilder på barnen, dokument och deras backuper).
Om vi tittar på avsnitten ovan har vi en otroligt svår utmaning framför oss. Det gäller att memorera en massa svåra lösenord, hålla dem i rätt kontext (vilket lösenord till vilken tjänst?), komma ihåg korrekt stavning, och så vidare.
Eller så väljer vi att bara glömma alla lösenord – förutom det till vår lösenordshanterare.
Lösenordshanterare
En lösenordshanterare är en säker databas för användarnamn och lösenord. Förenklat uttryckt är det ett notisblock där man skriver ner alla sina användarnamn och lösenord till alla olika tjänster man har.
För att skydda lösenorden har notisblocket ett hölje som inte går att bryta (databasen är krypterad), och ett kraftigt lås med en unik nyckel (huvudlösenordet till databasen). Det går med andra ord bara att öppna blocket med rätt nyckel.
Det finns en uppsjö av sådana lösningar på marknaden, i alla olika former och prisklasser. Vi har jämfört fem populära:
- 1Password
- Password Safe
- SafeInCloud
- KeePass
- LastPass
Ur ett säkerhetsperspektiv rekommenderar vi samtliga dessa lösningar. Det är alltså upp till dig att välja den lösning som passar dina behov bäst.
Lösenordshanterare eliminerar behovet att komma ihåg något lösenord så nära som helt. Det återstår dock ett man måste välja ett säkert huvudlösenord till hanteraren, annars riskerar man att bli av med samtliga lösenord på samma gång.
Vår rekommendation är att ha minst 16 tecken, till exempel tre-fyra ord som inte står i något meningsfull samband till varandra. Förvara sedan lösenordet i säkerhetsskåp, bankfack eller annat säkert förvaringsalternativ (om du skulle glömma bort det).
Stark autentisering
I företag blir det allt vanligare att man behöver använda sig av stark autentisering för att komma åt företagets information – vare sig det handlar om en VPN-uppkoppling, e-post, eller molntjänster. Lösningar som används i sådana sammanhang kan vara:
- SMS-koder
- Google Authenticator-app i mobiltelefonen
- ett RSA-token
- smarta kort (särskilt hos myndigheter).
Även i privata sammanhang används stark autentisering redan ganska flitigt, till exempel:
- certifikat i datorn och/eller mobilen (BankID och mobilt BankID är i princip sådana certifikattjänster)
- bankdosa
- e-legitimation
- SecureCode/3DSecure (även om det egentligen bara handlar om ett till lösenord).
Många tjänster som är listade ovan erbjuder numera möjligheten att slå på stark autentisering, vanligtvis via SMS eller Google Authenticator. Vi rekommenderar dig starkt att använda funktionen. Den erbjuder ditt konto skydd även om hela tjänsten skulle bli hackad.
Ett sista tips
Svara aldrig på mail, SMS eller chattmeddelanden som ber dig om lösenord, kreditkortsdata, eller annan känslig information.
I 99 av 100 fall handlar det om försök att få informationen för att begå bedrägliga handlingar med den, så kallad phishing. Dina lösenord är dina. Det finns förstås extrema undantagsfall, men dem lämnar vi utanför denna krönika.
Mattias Nygren, 2Secure
redaktionen@forvaltarforum.se
