Trygg användning av lösenord

Du är själv ansvarig för hur dina lösenord används, så förhåll dig inte för lättsamt till dem och minimera datasäkerhetsriskerna genom följa följande principer:

Minimering av mänskliga datasäkerhetsrisker:

  • Ge aldrig ett av dina lösenord åt någon annan person. En nättjänsts administratör behöver aldrig ditt lösenord för någonting, inte heller vid Helsingfors universitet (systemadministratörerna kan sköta sina uppgifter utan ditt lösenord).

Minimering av fysiska datasäkerhetsrisker:

  • Använd under inga omständigheter ett och samma lösenord för flera tjänster. Genom att använda olika lösenord för varje tjänst kan du minimera skadan vid eventuella dataintrång. Ett lösenord som hör samman med ett användarnamn vid Helsingfors universitet får inte användas i webbtjänster utanför universitetet, eftersom datasäkerheten i många tjänster är bristfällig.

Goda egenskaper hos lösenord

Ett bra lösenord är lätt att komma ihåg, men svårt att gissa. Grundtanken då man hittar på ett lösenord är att lösenordet inte får vara ett ord på något språk. Om du använder som ditt lösenord ett ord i ett naturligt språk – till exempel fotboll eller katt – kan brottslingar hitta ditt lösenord genom en så kallad ordboksattack, det vill säga genom att maskinellt gå igenom alla orden som finns i ordböcker.

En vanlig dator kan beräkna alla möjliga kombinationer av ett lösenord som består av fem små bokstäver på 12 sekunder, sex bokstäver på 5 minuter och ett lösenord på åtta bokstäver på endast 2,5 dygn – då lösenordet består av nio bokstäver ökar dock beräkningstiden till 2 månader! På grund av detta är det mycket få system som ens accepterar ett så kort lösenord.

Ordkombinationer

Genom att kombinera flera ord får du ett starkare lösenord, men för att skydda dig mot ordboksattacker och andra gissningsförsök lönar det sig att vara kreativ och lägga till andra tecken! Till exempel är ”läderlappen” inte ett säkert lösenord – särskilt om det är din favoritseriefigur. Däremot är en kombination i stil med ”Docila29Rytmer” mycket svårare att knäcka.

Alternativt kan du bilda ett lösenord av flera osammanhängande ord, precis som den populära serien XKCD rekommenderar.

Teckensträngar

En möjlighet är att använda en mening som du enkelt kommer ihåg som lösenord. Det är bra om meningen även innehåller egennamn som börjar med stor bokstav och siffror. Välj sedan den första bokstaven i varje ord i meningen och använd dessa för att bilda ett lösenord.

Exempel: Ragnar tänker tillbaka på tiden med sin ex-flickvän och kommer samtidigt på ett relativt säkert lösenord som beskrivs nedan.

Jag bodde med Paula i 5 år på Centralgatan 15 = JbmPi5åpC15

Gemensamt förled

Eftersom det kan vara svårt att komma ihåg tiotals olika lösenord kan du göra det enklare genom att dela upp lösenorden i en förled, som är konstant, och en slutdel som varierar.

Nedan finns Ragnars lösenordslista som ger en bild av hur lösenorden delats upp. Observera att Ragnar använder sitt ovan nämnda lösenord.

Hela lösenordet Den gemensamma förleden Olika slutleder Tjänst
JbmPi5bb68 JbmPi5 bb68 En datingservice som Ragnar använder
JbmPi5i9z4 JbmPi5 i9z4 Gratis e-posttjänsten Åmail
JbmPi5b6yz JbmPi5 b6yz En gratis tjänst med aktiekurser

Förbättrad säkerhet med hjälp av administrationsprogram för lösenord

Det kan vara omöjligt att komma ihåg alla användarnamn och lösenord som behövs för olika tjänster, framför allt om du gör som man ska och inte använder samma lösenord för varje tjänst. Som hjälp till detta har man utvecklat administrationsprogram för lösenord. Idén med dem är vanligtvis att de starka lösenord som användaren själv eller programmet automatiskt skapar sparas lokalt på varje enhet noggrant krypterade. Krypteringen kan endast öppnas med ett huvudlösenord och ofta även med en fysisk nyckelfil som användaren ska förvara separat. Å andra sidan finns också program som synkroniserar lösenordsfiler över nätet till användarens enheter.

1Password och KeePass är exempel på populära administrationsprogram för lösenord.

Ett av de mest populära av dessa är KeePass som är gratis och öppen källkod-baserat och för användning av vilket det finns tydliga instruktioner på IT-Helpdesk webbplats.

Administrationsprogrammen för lösenord ökar som bäst både datasäkerheten och användbarheten. Krypteringen av de sparade lösenorden är så stark att riskerna i praktiken är förknippade till att man tappar bort huvudlösenordet.

Trygg användning och förvaring av lösenord

Många tror att ett lösenord som är svårt att komma på tillsammans med ett tryggt förvaringssätt garanterar att det är tryggt att använda lösenordet. Så är det dock inte, eftersom även bland annat följande faktorer påverkar tryggheten hos lösenord:

  • Någon kan se dig skriva in ditt lösenord på tangentbordet.
  • Någon kan installera utrustning som ”avlyssnar” ditt tangentbord (keylogger) på din dator.
  • Om du använder en okrypterad trådlös uppkoppling kan någon luska ut din uppkoppling.

Det är särskilt i internetkaféer och i kollektivtrafikmedel med öppen nätuppkoppling som man ska vara försiktig då man använder sitt lösenord: trots att du kanske läser din e-post via en säker uppkoppling (läs mera om det i nästa kapitel), kan datorn du använder vara otrygg!

Observera att många webbläsare erbjuder dig möjligheten att lagra användarnamn och lösenord. Det är en behändig funktion, men den innehåller också vissa informationssäkerhetsrisker. Om du inte noga läser dialogfönstren som webbläsaren visar, kan det hända att du i misstag lagrar ditt lösenord i webbläsaren – detta är särskilt tråkigt om du använder en främmande dator! Följande bild visar en dialogruta där programmet frågar dig om du vill lagra ditt lösenord i webbläsarens minne.

Det finns också andra risker med att lagra sitt lösenord. Ifall du i misstag lämnar din dator öppen eller den även används av andra familjemedlemmar hemma, kan andra eventuellt läsa ditt lösenord i klartext, om de har åtkomst till din webbläsares inställningar och du inte har skyddat dina lösenord med ett huvudlösenord (Master password). Följande bild illustrerar hur man kan läsa lösenorden i klartext i inställningarna för webbläsaren Firefox.

På din egen dator kan du skydda lösenord som du sparat i webbläsaren med ett separat huvudlösenord. Du kan läsa mera om ämnet (bl.a. instruktioner för att radera ovan nämnda uppgifter) på sidan Integritetsskydd vid användning av webbläsare.

När du använder webbtjänster som kräver inloggning ska du överväga till exempel användning av multifaktorautentisering eller andra ytterligare inloggningsrelaterade verifieringar om sådana är möjliga i tjänsten.