Byt lösenord när du byter partner

This article in Swedish has previously been published on my Linkedin site.

Internetstiftelsen i Sverige gav i september ut en rapport om svenskars lösenordsvanor. Jag vet inte om jag vill rekommendera läsning eller ej. Tycker du som jag att lösenord och informationssäkerhet är intressant? Då är det en lättläst och matnyttig översikt för den intresserade. Tycker du att lösenord ett frustrerande gissel? Hoppa detta.

Om jag ska vara kritisk tycker jag att det är för mycket pekpinnar och för lite fokus på tips. Sydsvenskans kolumnist Eskil Fagerström skriver målande om hur omöjligt det känns att följa lösenordsrekommendationer, och hur han istället väljer att ge upp och skriva en bitsk krönika.

Jag tror att hans läsning av rapporten är mer representativ än vad min är. Den genomsnittlige användaren, sysadminen eller programmeraren kan inte sålla i informationen, utan blir överväldigad och ger upp.

I rapportens enkätsammanställning framgår det att tre av fyra användare anser sig “ha tillräcklig kunskap för att skapa ett starkt lösenord”. Jag är ledsen att regna på er parad, men det stämmer inte. Den överväldigande majoriteten har lärt sig en metod för lösenordsgenerering som är obsolet sedan många år tillbaka.

Så hur gör man då?

Slumpmässighet och längd – tvärt om mot vad de flesta tror så är längd och slumpmässighet viktigare än komplexitet i ett lösenord. “lunga sur chef vs synda” är ett avsevärt bättre lösenord än ditt gamla “S0mmarSol2016!”. Det första lösenordet har ett element av slumpmässighet som det senare inte har. Därför är det, även med enbart små bokstäver, avsevärt säkrare än det sistnämnda. Ironiskt nog kan ditt jobbs lösenordspolicy stå i vägen för att använda säkra(re) lösenord som det ovan. lägg då in specialtecken och versaler, men likadant överallt: “Lunga-Sur-Chef-Vs-Synda”. Detta lösenord har jag genererat med hjälp av Glenn Rempes Diceware-generator på svenska.

Använd lösenordsgeneratorer. Rapporten pekar helt korrekt på att man inte kan lita på att en lösenordsgenerator på internet är säker. Å andra sidan är ett datorgenererat i för det mesta avsevärt säkrare än ett egenpåhittat. Mitt mål i denna text är att höja säkerheten några snäpp, inte att skapa ett NSA-säkert lösenord (det kan du i stället läsa om och se på här).

Skriv ner dina lösenord, men inte hur som helst. Ha en lapp i fickan med ditt nya lösenord på och destruera den så fort du vet att du minns. Eller förvara lappen i en låst låda. Eller – bäst – använd en lösenordshanterare: en krypterad fil som du har lokalt på din dator.

Byt INTE lösenord ofta. Många tror att det höjer säkerheten att byta lösenod ofta, men detta stämmer nästan aldrig. Detta är en gammal rekommendation som bygger på en felaktig analys. Satsa i stället krutet på ett BRA lösenord enligt punkterna ovan.

Byt lösenord när du byter partner. Ett mycket bra tips från Internetstiftelsen. Tre av fyra i undersökningen delar aldrig med sig av sina lösenord, vilket är jättebra. Men om ni under en längre tid delat dator så ligger säkerligen någon inloggning kvar på ditt ex’s dator. Bästa vänner kan bli bittra fiender.

Byt lösenord när tjänsten misstänks ha blivit hackad En oroande stor andel av användarna byter inte lösenord även när de vet om att lösenordet har läckt.

Hur blev det nu, kommer jag också med för mycket pekpinnar? Att motivera användare till att använda bra lösenord med moderna metoder är jättesvårt. Den som populariserar ett modernt lösenordsanvändande kommer att göra världen en stor tjänst.