Lösenord – råd och tips när du väljer lösenord

Dina lösenord är en mycket viktig del av datasäkerheten

Starka lösenord är fundamentet för personlig och cybersäkerhet för företag. I denna artikel förklarar vi varför kraftfulla och unika lösenord är nödvändiga för att skydda mot en rad cyberhot och hur svaga lösenord innebär stora risker.

Ett lösenord är ett hemligt antal tecken som används för att verifiera en persons identitet. Det finns tiotusentals listor med olika standardlösenordet på internet, vilket gör det mycket enkelt för en angripare att få åtkomst till datorer, servrar och nätverk om du väljer svaga lösenord. 

Crackerprogram som kör mot ordlistor och namnlistor och tar kring 10 000 olika ord per sekund. Med hjälp av en brute force-attack med 8-tecken ord är det möjligt att knäcka skyddet på bara 5,5 timmar vilket kräver rätt starka maskiner. Bruteforce är en metod att knäcka lösenord. Med stora botnät, dvs nätverk av datorer som infekterats, så har hackarna andra möjligheter att få tag på datakraft. Ifall du använder vanliga ord eller namn så ber du om att bli hackad.

Datasäkerhet och autentisering så här skapar du ett starkt lösenord

Välj aldrig lösenord som består av namn och ord. Tyvärr är dåliga lösenord en del av vardagen bland många företag och ofta den svagaste länken i företagets datasäkerhet. Med svaga lösenord utsätter du därmed dig själv och företaget för attacker utifrån. Tyvärr finns det även slarviga systemadministratörer som använder userid som root, admin och administrator.

Den genomsnittlige användaren har 26 lösenordsskyddade konton, men bara fem olika lösenord över dessa konton enligt en studie av Deloitte. Naturligtvis skall du aldrig använda samma användarnamn och lösenord på flera sajter. En hacker kan mycket väl lyssna av om det skickas okrypterat till en webbserver. En angripare som kommer åt ett konto kan om du komma över Gmail (och andra konton som har samma kontouppgifter).

Exempel på ett svårhackat lösenord: R!j@qQ@@Hp!q89. Lägg alltid till specialtecken och unika bokstavskombinationer för att göra det svårt att hacka det.

Tips kring lösenord
När du registrerar dig för allt fler konton och tjänster är det extremt frestande att återanvända samma lösenord om och om igen, men det är mycket riskfyllt beteende.

Använd alltid ett stark, unikt lösenord för varje webbplats som du besöker. Det är enklare om du installerar och använder en lösenord manager.

Och glöm inte – byt alltid ditt lösenord om du gör slut med din pojkvän eller flickvän…Även om ditt X inte går in på dina mail kan hans eller hennes nya partner göra det eller din nya pojkvän eller flickvän.

Skapa och hantera starka lösenord: 10 tips för säkrare lösennord

Att ha säkra lösenord är avgörande för att skydda din onlineidentitet och dina digitala konton. Här är 10 tips för att skapa och hantera säkrare lösenord:

1. Använd alltid unika lösenord: Använd aldrig samma lösenord för flera konton. Skapa unika lösenord för varje webbplats eller tjänst du använder. På så sätt minskar du risken för att om ett lösenord exponeras, påverkar det inte andra konton.
   
2. Komplexa lösenord som är svåra att gissa: Skapa lösenord som är svåra att gissa genom att använda en kombination av stora och små bokstäver, siffror och specialtecken. Undvik enkla och lättförutsägbara mönster som ”123456” eller ”password”.
   
3. Använd längre lösenord: Ju längre lösenordet är, desto svårare blir det att gissa eller knäcka det. Sträva efter att ha lösenord som är minst 12 tecken långa.
   
4. Undvik personlig information: Undvik att använda personlig information som namn, födelsedatum eller adress i dina lösenord. Denna information kan vara lätt att hitta eller gissa för angripare.
   
5. Använd lösenfraser: En lösenfras är en serie av ord eller meningar som bildar ett lösenord. Till exempel kan du använda ”JagÄlskarAttResa2023!” istället för ett kortare och enklare lösenord. Lösenfraser är lättare att komma ihåg och svårare att gissa.
   
6. Tvåfaktorsautentisering: Aktivera tvåfaktorsautentisering (2FA) för dina konton när det är tillgängligt. Detta innebär att du måste ange en extra verifieringskod eller använda en autentiseringsapp för att logga in utöver ditt lösenord. Det ger en extra säkerhetsnivå för dina konton.
   
7. Använd ett lösenordshanteringsverktyg: Överväg att använda ett lösenordshanteringsverktyg som kan generera och lagra starka lösenord åt dig. Dessa verktyg krypterar dina lösenord och ger dig möjlighet att ha unika och komplexa lösenord för varje konto utan att behöva komma ihåg dem alla.
   
8. Byt lösenord regelbundet: För att säkerställa maximal säkerhet bör du byta lösenord för dina konton regelbundet. Rekommendationen är att göra det minst var sjätte månad.
   
9. Var försiktig med lösenordsåterställning: När du återställer ett lösenord bör du vara försiktig med säkerhetsfrågor och verifieringsmetoder. Undvik att välja förutsägbara svar eller att använda information som är offentligt tillgänglig.
   
10. Var vaksam med delning av lösenord: Dela aldrig dina lösenord med någon annan, inklusive familjemedlemmar eller nära vänner. Om du behöver ge någon åtkomst till ditt konto, använd hellre delade konton eller funktioner för gästanvändare.

Se till att skaffa en bra lösenordshanteringverktyg (password manager)

Det finns flera bra lösenords managers som hjälper dig att administrera dina lösenord eftersom du behöver ha olika lösenord på varje server. Det är i princip omöjligt att administera flera webbservar utan en passord manager som förenklar ditt liv på nätet.

De här är några bra lösenordsmanagers som dessutom har 2 faktors autenticiering.

• 1Password – har en mängd olika extrafunktioner som att testa om lösenordet har läckts genom Troy Hunt’s fantastiska Have I Been Pwned databas).
• Bitwarden – är en gratis version open source lösning
• Lastpass Premium
• Dashlane
• KeePassXC
• NordPass
• Keeper Password manager

Enkelt att hacka webbservrar

Se även till att allt i ditt nätverk har konfigurerats med ett starkt lösenord för att förhindra obehörig åtkomst även webbservrar.

Sajter som inte använder kryptering och inte är viktiga för dig kan du använda ett slasklösenord.
Tänk på att du skickar ditt lösenord i klartext im du inte har certifikat på webbservern du besöker dvs https:// skickar du ditt informationen i klartext vilket innebär att vem som helst kan läsa textsträngar du skickar över nätet.

Vad är password cracking tools?

Password cracking tools är program som används för att identifiera, gissa eller återställa förlorade eller glömda lösenord. Dessa verktyg använder olika metoder såsom brute-force attack (systematiskt testande av alla möjliga kombinationer), dictionary attacks (användning av en fördefinierad lista av troliga lösenord), och rainbow table attacks (användning av en stor databas av fördefinierade hashvärden för att snabbt hitta motsvarande lösenord).

Det finns flera password cracking verktyg som går att använda för att ta sig igenom lösenord.

• John the Ripper: Ett väldigt känt verktyg som ursprungligen designades för Unix-system men nu finns tillgängligt för flera plattformar. John the Ripper är känt för sin flexibilitet då det kan anpassas för att knäcka olika lösenordskrypteringar.
• Hashcat: Känd för sin hastighet och effektivitet, Hashcat använder GPU-kraft för att snabbt knäcka lösenord. Det stöder olika typer av krypteringsalgoritmer och är tillgängligt för Windows, macOS och Linux.
• THC Hydra: Ofta använd för att knäcka lösenord på nätverksprotokoll (som SSH och FTP). Hydra är känt för sin förmåga att utföra snabba brute-force attacker på nätverkstjänster.
• Aircrack-ng: Specifikt inriktad på Wi-Fi-nätverk, är Aircrack-ng en del av en större svit av verktyg för nätverkssäkerhet och används för att testa Wi-Fi-nätverkssäkerhet.
• Brutus: Detta är ett av de äldsta och mest kända fjärrlösenordsknäckningsverktygen. Det är särskilt effektivt för att utföra brute-force attacker och dictionary attacks mot webbaserade tjänster. Dock har det inte uppdaterats på många år, vilket kan innebära säkerhetsrisker och kompatibilitetsproblem med modernare system.
• RainbowCrack: Detta verktyg använder en metod som kallas för rainbow table attack. RainbowCrack genererar och använder stora tabeller av fördefinierade hashvärden som gör det möjligt att snabbt knäcka lösenord. Det är effektivt men kräver mycket lagringsutrymme för att lagra rainbow tables.
• Wfuzz: Wfuzz är en flexibel verktyg för webbpenetrationstestning. Det används för att hitta och utnyttja sårbarheter i webbapplikationer. Det är inte strikt ett lösenordsknäckningsverktyg, men det kan användas för att utföra brute-force attacker mot webbformulär.
• Cain and Abel: Detta är ett populärt verktyg för Windows som används för olika typer av lösenordsåterställningar, inklusive brute-force och dictionary attacks. Det kan också snappa upp nätverkstrafik och extrahera lösenord. Dock har det inte uppdaterats på flera år, vilket kan vara en nackdel.
• Medusa: Medusa liknar mycket Hydra men är känd för sin snabbhet och förmåga att hantera samtidiga anslutningar. Det är ett kommandoradsverktyg som används för att utföra brute-force attacker mot olika protokoll och tjänster.
• OphCrack: Detta är ett välkänt verktyg för att knäcka Windows-lösenord genom att använda rainbow tables. Det är särskilt effektivt för att återställa lösenord som lagrats i Windows.
• L0phtCrack: Det är ett avancerat verktyg för att återställa och knäcka Windows-lösenord. Det använder olika metoder som brute-force, dictionary och hybrid attacks. L0phtCrack är också känt för att kunna utvärdera lösenordens styrka och ge förslag på förbättringar.

Spara inte informationen på din hårddisk

Se till att inte spara det hemliga lösenordet på din hårddisk eller lätt tillgängligt på skrivbordet på någon postit-lapp. Det finns lösenordsverktyg som hjälper dig att skydda informationen.  Ett sådant är Lastpass som är ett freeware som finns tillgänlig för Chrome, Firefox, Safari och Inernet Explorer att ladda ner.

Välj alltid 2 stegs-verifiering

Om du använder Gmail kan du använda 2 stegs-verifiering där du  även kan använda mobiltelefonen. Läs mer

Det finns ett antal produkter  som använder multifaktorautentisering för att validera en annvändares identitiet. De använder olika metoder som:

• Tokens
• Certifikat
• Biometri
• Engångslösenord
• Geolokalisering
• Olika typer av tangenttryckningar och mönstermatchning

Exempel på produkter och företag som erbjuder multifaktorsautentisering

• ActivId – kortlösning och lösning med VPN för företag
• Digigtal Persona från Crossmatch
• DualShield från Deepnet Security
• Entrust IdentityGuard
• Gemalto
• Microsoft multifaktor autentisiering i Azure (microsofts moln lösning)
• SecureAuth Identity Enforcement Platform
• Swivel Secure AuthControl Sentry och AuthControl Cloud
• Technavia – Biometri
• Vasco Data Security Digipass och Identikey

Även om du använder 2-faktors autenticiering så är systemet inte perfekt och man har kunnat hacka dem. En hackergrupp har försökt att nätfiska 1000 personer enligt Amnesty International vilket de publicerat i en rapport den 18:e december 2018.

Cybersäkerhet för småföretagare

Se till att ha rutiner kring lösenord så du inte använder samma lösenord och att du byter dem var 3:e månad.

Ändra lösenorden på din firewall och databas
Både databaser och firewalls har ofta standardlösenord som du måste ändra på med jämna mellanrum

Akta ditt lokala nätverk
Se till att aldrig låta någon främmande komma in på det interna nätverket eller din personliga dator. Med ett USB-minne går det enkelt för en illasinnad person att komma åt känslig information.

Program för att ta reda på lösenord

Det finns lösenordsprogram som Cain & Abel version 4.9.43 som är ett verktyg för att plocka fram lösenord från Microsoft nätverk. Med programmet går det att sniffa nätverk, cracka lösenord och testa dina lösenord. Programmet kan göra brute force attacker genom att köra igenom ordlistor.
Ett mycket populär lösenords cracking verktyg är Haschcat  som innebär att du kan komma in i en dator som är låst.

Vilka är de värsta och absoluta värsta lösenorden du kan använda?

SplashData, som utvecklar applikationer hantering av lösenord, avslöjar sina årliga ”25 Worst Lösenord of the Year” med en lista över de vanligaste lösenord som väljs av användarna.

De sämsta lösenord enligt Splashdata 2015

1. 123456
2. password
3. 12345
4. 12345678
5. qwerty
6. 123456789
7. 1234
8. baseball
9. dragon
10. football
11. 1234567
12. monkey
13. letmein
14. abc123
15. 111111
16. mustang
17. access
18. shadow
19. master
20. michael
21. superman
22. 696969
23. 123123
24. batman
25. trustno1

Google har också gett ut en lista med de sämsta lösenorden där namn inom familjen och husdjur är vanliga. Födelseort, högtider, Viktiga årtal som giftermål eller när ett barn eller närstående är född. Information som ofta är tillgängliga på sociala nätverk som Facebook.