L\u00f6senordet \u00e4r den \u00e4ldsta och fortfarande vanligaste formen av inloggning p\u00e5 n\u00e4tet. Trots alla nyare metoder \u00e4r det f\u00e5 tj\u00e4nster som klarar sig helt utan det. Det g\u00f6r l\u00f6senordss\u00e4kerhet till en av de mest grundl\u00e4ggande f\u00e4rdigheterna f\u00f6r den som vill skydda sina konton, och samtidigt ett omr\u00e5de d\u00e4r missf\u00f6rst\u00e5nd \u00e4r vanliga.<\/p>\n
En stor del av r\u00e5den som spridits genom \u00e5ren \u00e4r f\u00f6r\u00e5ldrade eller rentav kontraproduktiva. Kravet p\u00e5 att blanda stora bokst\u00e4ver, siffror och specialtecken har l\u00e4nge dominerat, men leder ofta till l\u00f6senord som \u00e4r sv\u00e5ra f\u00f6r m\u00e4nniskor att minnas och f\u00f6rv\u00e5nansv\u00e4rt l\u00e4tta f\u00f6r datorer att gissa. Den h\u00e4r artikeln g\u00e5r igenom vad som faktiskt g\u00f6r ett l\u00f6senord starkt, hur seri\u00f6sa tj\u00e4nster lagrar l\u00f6senord, varf\u00f6r en l\u00f6senordshanterare \u00e4r ett av de mest verkningsfulla verktygen som finns, och hur tv\u00e5faktorsautentisering kompletterar l\u00f6senordet.<\/p>\n
Styrkan i ett l\u00f6senord handlar om hur m\u00e5nga gissningar en angripare beh\u00f6ver g\u00f6ra f\u00f6r att hitta r\u00e4tt. Ju fler m\u00f6jliga kombinationer, desto sv\u00e5rare blir det att gissa. H\u00e4r \u00e4r l\u00e4ngden den enskilt viktigaste faktorn.<\/p>\n
Ett kort l\u00f6senord med m\u00e5nga olika teckentyper ger f\u00f6rv\u00e5nansv\u00e4rt f\u00e5 kombinationer j\u00e4mf\u00f6rt med ett l\u00e5ngt l\u00f6senord byggt av vanliga ord. Sk\u00e4let \u00e4r att varje extra tecken m\u00e5ngdubblar antalet m\u00f6jligheter, medan ett tillagt specialtecken bara bidrar marginellt om l\u00f6senordet \u00e4r kort. Ett l\u00f6senord p\u00e5 \u00e5tta tecken, hur kr\u00e5ngligt det \u00e4n ser ut, ligger inom r\u00e4ckh\u00e5ll f\u00f6r moderna gissningsverktyg. Ett l\u00f6senord p\u00e5 tjugo tecken g\u00f6r samma angrepp orimligt l\u00e5ngsamt.<\/p>\n
Det \u00e4r d\u00e4rf\u00f6r en l\u00f6senordsfras ofta \u00e4r ett b\u00e4ttre val f\u00f6r det f\u00e5tal l\u00f6senord du beh\u00f6ver minnas sj\u00e4lv. Fyra eller fem slumpm\u00e4ssiga ord satta i f\u00f6ljd bildar n\u00e5got som \u00e4r l\u00e5ngt, l\u00e4tt att komma ih\u00e5g och mycket sv\u00e5rt att gissa. Det viktiga \u00e4r att orden v\u00e4ljs slumpm\u00e4ssigt och inte utg\u00f6r ett k\u00e4nt citat eller en logisk mening, eftersom angripare provar just s\u00e5dana m\u00f6nster.<\/p>\n
Ett vanligt misstag \u00e4r att tro att f\u00f6ruts\u00e4gbara knep h\u00f6jer s\u00e4kerheten. Att byta ut bokstaven o mot en nolla, l\u00e4gga till en etta p\u00e5 slutet eller s\u00e4tta ett utropstecken efter ett vanligt ord \u00e4r m\u00f6nster som gissningsverktyg k\u00e4nner till v\u00e4l. De h\u00f6jer styrkan obetydligt j\u00e4mf\u00f6rt med att helt enkelt g\u00f6ra l\u00f6senordet l\u00e4ngre.<\/p>\n
N\u00e4r du registrerar dig p\u00e5 en tj\u00e4nst b\u00f6r den aldrig spara ditt l\u00f6senord som det \u00e4r. Skulle den g\u00f6ra det, skulle ett enda intr\u00e5ng i databasen avsl\u00f6ja samtliga anv\u00e4ndares l\u00f6senord i klartext. I st\u00e4llet lagrar seri\u00f6sa tj\u00e4nster en bearbetad version.<\/p>\n
Bearbetningen g\u00f6rs med en hashfunktion. En hashfunktion omvandlar l\u00f6senordet till en str\u00e4ng med fast l\u00e4ngd p\u00e5 ett s\u00e4tt som \u00e4r l\u00e4tt att r\u00e4kna ut i en riktning men praktiskt taget om\u00f6jligt att v\u00e4nda. Tj\u00e4nsten sparar bara hashv\u00e4rdet. N\u00e4r du loggar in n\u00e4sta g\u00e5ng hashas det du skriver in p\u00e5 nytt, och resultatet j\u00e4mf\u00f6rs med det sparade v\u00e4rdet. St\u00e4mmer de \u00f6verens sl\u00e4pps du in, utan att tj\u00e4nsten n\u00e5gonsin beh\u00f6ver lagra sj\u00e4lva l\u00f6senordet. Hur hashfunktioner fungerar i grunden f\u00f6rklaras n\u00e4rmare i avsnittet om kryptografi<\/a>.<\/p>\n Enbart hashning r\u00e4cker dock inte. Om tv\u00e5 anv\u00e4ndare har samma l\u00f6senord f\u00e5r de samma hashv\u00e4rde, vilket en angripare kan utnyttja med f\u00f6rber\u00e4knade tabeller \u00f6ver vanliga l\u00f6senord och deras hashv\u00e4rden. L\u00f6sningen kallas salt. Ett salt \u00e4r en unik, slumpm\u00e4ssig str\u00e4ng som l\u00e4ggs till varje l\u00f6senord innan det hashas. Det g\u00f6r att samma l\u00f6senord ger olika hashv\u00e4rden f\u00f6r olika anv\u00e4ndare, och om\u00f6jligg\u00f6r f\u00f6rber\u00e4knade tabeller. Saltet beh\u00f6ver inte h\u00e5llas hemligt, det r\u00e4cker att det \u00e4r unikt.<\/p>\n Bra l\u00f6senordslagring anv\u00e4nder dessutom funktioner som med flit \u00e4r l\u00e5ngsamma att ber\u00e4kna, s\u00e5 att varje gissning kostar angriparen tid. Det m\u00e4rks inte vid en enstaka inloggning, men g\u00f6r massgissning betydligt dyrare. Som anv\u00e4ndare kan du inte styra hur en tj\u00e4nst lagrar l\u00f6senord, men du kan dra nytta av skyddet genom att v\u00e4lja l\u00e5nga, unika l\u00f6senord. D\u00e5 h\u00e5ller \u00e4ven en utdragen gissningsattack inte i praktiken.<\/p>\n Slutsatsen av allt detta blir snabbt \u00f6verm\u00e4ktig: varje tj\u00e4nst b\u00f6r ha ett eget, l\u00e5ngt, slumpm\u00e4ssigt l\u00f6senord, och de b\u00f6r inte g\u00e5 att gissa. Ingen m\u00e4nniska kan minnas hundratals s\u00e5dana. Det \u00e4r precis det problemet en l\u00f6senordshanterare l\u00f6ser.<\/p>\n En l\u00f6senordshanterare \u00e4r ett program som genererar, lagrar och fyller i l\u00f6senord \u00e5t dig. Den skapar ett unikt, slumpm\u00e4ssigt l\u00f6senord f\u00f6r varje tj\u00e4nst och sparar det krypterat. Du beh\u00f6ver bara minnas ett enda huvudl\u00f6senord, som l\u00e5ser upp valvet. Allt annat sk\u00f6ter programmet. Eftersom det fyller i l\u00f6senord automatiskt slipper du dessutom skriva in dem f\u00f6r hand, vilket \u00e4ven skyddar mot vissa former av n\u00e4tfiske, eftersom hanteraren inte fyller i ett l\u00f6senord p\u00e5 en falsk webbplats med fel adress.<\/p>\n Huvudl\u00f6senordet blir d\u00e5 den enda nyckeln du m\u00e5ste v\u00e4lja med omsorg och faktiskt memorera. H\u00e4r passar en l\u00e5ng l\u00f6senordsfras v\u00e4l: n\u00e5got som \u00e4r l\u00e4tt f\u00f6r dig att minnas men praktiskt taget om\u00f6jligt att gissa. Tappar du bort huvudl\u00f6senordet finns oftast ingen v\u00e4g tillbaka in i valvet, vilket \u00e4r en medveten egenskap. Det betyder ocks\u00e5 att du b\u00f6r ha en plan f\u00f6r hur du s\u00e4krar just det.<\/p>\n Inv\u00e4ndningen att en l\u00f6senordshanterare blir en enda k\u00e4nslig punkt \u00e4r f\u00f6rst\u00e5elig, men f\u00f6r de allra flesta \u00f6verv\u00e4ger f\u00f6rdelarna med marginal. Alternativet, att \u00e5teranv\u00e4nda ett f\u00e5tal svaga l\u00f6senord \u00f6verallt, \u00e4r betydligt farligare i praktiken. En v\u00e4l skyddad hanterare med ett starkt huvudl\u00f6senord och tv\u00e5faktorsautentisering \u00e4r ett av de mest verkningsfulla s\u00e4kerhetsstegen en vanlig anv\u00e4ndare kan ta.<\/p>\n Hur starkt ett l\u00f6senord \u00e4n \u00e4r kan det stj\u00e4las, till exempel genom n\u00e4tfiske eller ett intr\u00e5ng hos tj\u00e4nsten. D\u00e4rf\u00f6r b\u00f6r de viktigaste kontona skyddas med ytterligare ett lager: tv\u00e5faktorsautentisering.<\/p>\n Tv\u00e5faktorsautentisering inneb\u00e4r att inloggningen kr\u00e4ver tv\u00e5 oberoende saker. Det f\u00f6rsta \u00e4r n\u00e5got du vet, allts\u00e5 l\u00f6senordet. Det andra \u00e4r n\u00e5got du har, till exempel en eng\u00e5ngskod fr\u00e5n en autentiseringsapp eller en fysisk s\u00e4kerhetsnyckel. \u00c4ven om en angripare kommer \u00f6ver ditt l\u00f6senord saknas det andra steget, och inloggningen misslyckas.<\/p>\n Olika varianter ger olika starkt skydd. En autentiseringsapp som genererar tidsbegr\u00e4nsade koder \u00e4r generellt tryggare \u00e4n koder via sms, eftersom sms i vissa fall kan avlyssnas eller omdirigeras. Allra starkast \u00e4r fysiska s\u00e4kerhetsnycklar, som dessutom \u00e4r konstruerade f\u00f6r att inte g\u00e5 att luras att svara mot en falsk webbplats. Oavsett variant \u00e4r tv\u00e5faktorsautentisering ett av de mest effektiva s\u00e4tten att skydda ett konto, och b\u00f6r prioriteras p\u00e5 e-post, banktj\u00e4nster och andra inloggningar som l\u00e5ser upp resten av ditt digitala liv.<\/p>\n Ett bra l\u00f6senord \u00e4r framf\u00f6r allt l\u00e5ngt och unikt, inte n\u00f6dv\u00e4ndigtvis kr\u00e5ngligt. Seri\u00f6sa tj\u00e4nster skyddar l\u00f6senord genom att hasha och salta dem, men det skyddet blir bara meningsfullt om l\u00f6senordet i sig \u00e4r sv\u00e5rt att gissa. En l\u00f6senordshanterare g\u00f6r det praktiskt m\u00f6jligt att ha ett starkt, unikt l\u00f6senord \u00f6verallt, och tv\u00e5faktorsautentisering f\u00e5ngar de fall d\u00e4r l\u00f6senordet \u00e4nd\u00e5 kommer p\u00e5 avv\u00e4gar. Tillsammans utg\u00f6r de en grund som tar bort en stor del av risken med ganska liten anstr\u00e4ngning.<\/p>\nL\u00f6senordshanteraren som verktyg<\/h2>\n
Tv\u00e5faktorsautentisering som komplement<\/h2>\n
Sammanfattning<\/h2>\n