Varför lösenord fortfarande spelar roll
Lösenordet är den äldsta och fortfarande vanligaste formen av inloggning på nätet. Trots alla nyare metoder är det få tjänster som klarar sig helt utan det. Det gör lösenordssäkerhet till en av de mest grundläggande färdigheterna för den som vill skydda sina konton, och samtidigt ett område där missförstånd är vanliga.
En stor del av råden som spridits genom åren är föråldrade eller rentav kontraproduktiva. Kravet på att blanda stora bokstäver, siffror och specialtecken har länge dominerat, men leder ofta till lösenord som är svåra för människor att minnas och förvånansvärt lätta för datorer att gissa. Den här artikeln går igenom vad som faktiskt gör ett lösenord starkt, hur seriösa tjänster lagrar lösenord, varför en lösenordshanterare är ett av de mest verkningsfulla verktygen som finns, och hur tvåfaktorsautentisering kompletterar lösenordet.
Längd betyder mer än komplexitet
Styrkan i ett lösenord handlar om hur många gissningar en angripare behöver göra för att hitta rätt. Ju fler möjliga kombinationer, desto svårare blir det att gissa. Här är längden den enskilt viktigaste faktorn.
Ett kort lösenord med många olika teckentyper ger förvånansvärt få kombinationer jämfört med ett långt lösenord byggt av vanliga ord. Skälet är att varje extra tecken mångdubblar antalet möjligheter, medan ett tillagt specialtecken bara bidrar marginellt om lösenordet är kort. Ett lösenord på åtta tecken, hur krångligt det än ser ut, ligger inom räckhåll för moderna gissningsverktyg. Ett lösenord på tjugo tecken gör samma angrepp orimligt långsamt.
Det är därför en lösenordsfras ofta är ett bättre val för det fåtal lösenord du behöver minnas själv. Fyra eller fem slumpmässiga ord satta i följd bildar något som är långt, lätt att komma ihåg och mycket svårt att gissa. Det viktiga är att orden väljs slumpmässigt och inte utgör ett känt citat eller en logisk mening, eftersom angripare provar just sådana mönster.
Ett vanligt misstag är att tro att förutsägbara knep höjer säkerheten. Att byta ut bokstaven o mot en nolla, lägga till en etta på slutet eller sätta ett utropstecken efter ett vanligt ord är mönster som gissningsverktyg känner till väl. De höjer styrkan obetydligt jämfört med att helt enkelt göra lösenordet längre.
Varför tjänster hashar och saltar lösenord
När du registrerar dig på en tjänst bör den aldrig spara ditt lösenord som det är. Skulle den göra det, skulle ett enda intrång i databasen avslöja samtliga användares lösenord i klartext. I stället lagrar seriösa tjänster en bearbetad version.
Bearbetningen görs med en hashfunktion. En hashfunktion omvandlar lösenordet till en sträng med fast längd på ett sätt som är lätt att räkna ut i en riktning men praktiskt taget omöjligt att vända. Tjänsten sparar bara hashvärdet. När du loggar in nästa gång hashas det du skriver in på nytt, och resultatet jämförs med det sparade värdet. Stämmer de överens släpps du in, utan att tjänsten någonsin behöver lagra själva lösenordet. Hur hashfunktioner fungerar i grunden förklaras närmare i avsnittet om kryptografi.
Enbart hashning räcker dock inte. Om två användare har samma lösenord får de samma hashvärde, vilket en angripare kan utnyttja med förberäknade tabeller över vanliga lösenord och deras hashvärden. Lösningen kallas salt. Ett salt är en unik, slumpmässig sträng som läggs till varje lösenord innan det hashas. Det gör att samma lösenord ger olika hashvärden för olika användare, och omöjliggör förberäknade tabeller. Saltet behöver inte hållas hemligt, det räcker att det är unikt.
Bra lösenordslagring använder dessutom funktioner som med flit är långsamma att beräkna, så att varje gissning kostar angriparen tid. Det märks inte vid en enstaka inloggning, men gör massgissning betydligt dyrare. Som användare kan du inte styra hur en tjänst lagrar lösenord, men du kan dra nytta av skyddet genom att välja långa, unika lösenord. Då håller även en utdragen gissningsattack inte i praktiken.
Lösenordshanteraren som verktyg
Slutsatsen av allt detta blir snabbt övermäktig: varje tjänst bör ha ett eget, långt, slumpmässigt lösenord, och de bör inte gå att gissa. Ingen människa kan minnas hundratals sådana. Det är precis det problemet en lösenordshanterare löser.
En lösenordshanterare är ett program som genererar, lagrar och fyller i lösenord åt dig. Den skapar ett unikt, slumpmässigt lösenord för varje tjänst och sparar det krypterat. Du behöver bara minnas ett enda huvudlösenord, som låser upp valvet. Allt annat sköter programmet. Eftersom det fyller i lösenord automatiskt slipper du dessutom skriva in dem för hand, vilket även skyddar mot vissa former av nätfiske, eftersom hanteraren inte fyller i ett lösenord på en falsk webbplats med fel adress.
Huvudlösenordet blir då den enda nyckeln du måste välja med omsorg och faktiskt memorera. Här passar en lång lösenordsfras väl: något som är lätt för dig att minnas men praktiskt taget omöjligt att gissa. Tappar du bort huvudlösenordet finns oftast ingen väg tillbaka in i valvet, vilket är en medveten egenskap. Det betyder också att du bör ha en plan för hur du säkrar just det.
Invändningen att en lösenordshanterare blir en enda känslig punkt är förståelig, men för de allra flesta överväger fördelarna med marginal. Alternativet, att återanvända ett fåtal svaga lösenord överallt, är betydligt farligare i praktiken. En väl skyddad hanterare med ett starkt huvudlösenord och tvåfaktorsautentisering är ett av de mest verkningsfulla säkerhetsstegen en vanlig användare kan ta.
Tvåfaktorsautentisering som komplement
Hur starkt ett lösenord än är kan det stjälas, till exempel genom nätfiske eller ett intrång hos tjänsten. Därför bör de viktigaste kontona skyddas med ytterligare ett lager: tvåfaktorsautentisering.
Tvåfaktorsautentisering innebär att inloggningen kräver två oberoende saker. Det första är något du vet, alltså lösenordet. Det andra är något du har, till exempel en engångskod från en autentiseringsapp eller en fysisk säkerhetsnyckel. Även om en angripare kommer över ditt lösenord saknas det andra steget, och inloggningen misslyckas.
Olika varianter ger olika starkt skydd. En autentiseringsapp som genererar tidsbegränsade koder är generellt tryggare än koder via sms, eftersom sms i vissa fall kan avlyssnas eller omdirigeras. Allra starkast är fysiska säkerhetsnycklar, som dessutom är konstruerade för att inte gå att luras att svara mot en falsk webbplats. Oavsett variant är tvåfaktorsautentisering ett av de mest effektiva sätten att skydda ett konto, och bör prioriteras på e-post, banktjänster och andra inloggningar som låser upp resten av ditt digitala liv.
Sammanfattning
Ett bra lösenord är framför allt långt och unikt, inte nödvändigtvis krångligt. Seriösa tjänster skyddar lösenord genom att hasha och salta dem, men det skyddet blir bara meningsfullt om lösenordet i sig är svårt att gissa. En lösenordshanterare gör det praktiskt möjligt att ha ett starkt, unikt lösenord överallt, och tvåfaktorsautentisering fångar de fall där lösenordet ändå kommer på avvägar. Tillsammans utgör de en grund som tar bort en stor del av risken med ganska liten ansträngning.
