Skip to content

På tal om säkra lösenord

november 9, 2011
pw_cat

Säkra lösenord blev ju aktuellt igen i och med det uppmärksammade fallet med Bloggtoppen. Det blev ett stort liv om säkra lösenord i pressen, men här är mitt bidrag till ämnet.

För det första tycker jag att det ytterst är en webbsidas (eller webbansvarigs) ansvar att se till så att användarnas lösenord hålls hemliga.  I alla fall för den, som vill kalla sig seriös. Många sidor är faktiskt ganska dåliga på detta. En del sidor förvarar till och med ditt lösenord helt öppet (okrypterat) i en databas. Exempel på detta är sidor, där du kan få ditt lösenord epostat till dig. På sådana sidor är det viktigt att man har ett speciellt lösenord, som man använder bara på den sidan. Ett ebrev är nämligen Internets motsvarighet till vykort. Vilket gör det fritt fram för vem som helst, som kan läsa ditt ebrev (caféer och andra ställen med trådlöst internet tex.) att logga in på ditt konto. Comhem är ett bra exempel, ett företag med 500 000 bredbandskunder och inom vilket det uppenbart borde finnas kompetens nog att inse problemet med detta.

I fallet med Bloggtoppen förvarades dock lösenorden krypterade. Det är bra, men det är fortfarande företagets eller den sidansvariges uppgift att se till att databasen med lösenorden hålls skyddad. Krypteringen sker med hjälp av en så kallad kryptografisk hash-funktion. Den kryptografiska hashfuntkionen är en matematisk funktion, som givet en serie tecken, räknar om dessa till en annan serie tecken (av given längd). Det är sedan den uträknade serien tecken, som sparas i databasen. Kryptografiska hashfunktioner är inte inverterabara, det vill säga det går inte att givet, den krypterade serien tecken räkna fram den okrypterade.

Problemet är att den, som vet vilken hashfunktion, som användes för att kryptera ett lösenord kan använda samma hashfunktion på till exempel all ord i en ordlista och sedan jämföra dessa med de krypterade lösenorden. Är nu orginallösenorden enkla ord, som finns i en vanlig ordlista blir det en lätt match att knäcka dem. I praktiken används nämligen nästan alltid samma hashfunktioner på alla sidor på hela Internet. De vanligaste är md5, sha-1 eller sha-256. Ofta går det att ladda ner listor där kända ord i ordlistor redan är uträknade med hjälp av de vanligaste hashfunktionerna. Vanligen innehåller dessa listor också de vanligaste varianterna av orden med omväxlande stora och små bokstäver samt till exempel vissa bokstäver utbytta mot siffror (typ L3 P14id).  Används dessutom samma lösenord på flera sidor är det, som bäddad för problem. Det kanske inte är så farligt att få sitt bloggtoppen-konto kapat, men om samma lösenord använts till både gmail och facebook så betyder det att den, som kom över lösenordet också får tillgång till dina ebrev och all facebookinformation. Sådan kan ju vara lite lätt otrevligt. Det säkraste är därför att använda sig av helt slumpmässiga lösenord samt att använda olika lösenord för olika platser.

Det kanske låter krångligt, men de lösenord, som används dagligen går faktiskt ganska snabbt att lära sig. Tänk tillbaka på innan mobiltelefonerna kom med sina adressböcker, det gick utmärkt att komma ihåg de telfonnummer , som användes dagligen. Ett lösenord på 14 tecken eller längre anses allmänt, som för krävande för dagens datorer att kunna knäcka med hjälp av råstyrka (brute force på tuff it-slang).  Lösenord till sidor, som besöks mer sällan är svårare. Då kan man till exempel ta hjälp av webbläsarens funktion för att komma ihåg lösenord.  Den, som lånar ut sin dator ofta, kan använda sig av ett så kallat huvudlösenord. Vet inte om funktionen finns i alla webbläsare, men jag vet att den finns i firefox. Se till att komma ihåg huvudlösenordet bara, för webbläsaren kommer att fråga efter det varje gång den startas. Utan huvudlösenordet går det inte att komma åt de sparde lösenorden.

Webbläsaren Firefox rekomenderar jag starkt. Med denna går det också att skapa speciell profil, för gäster och låta de som vill låna din dator använda denna. En annan bra funktion i firefox är också möjligheten att synkronisera lösenord (och även bokmärken och historik). Enligt Mozilla lagras den synkroniserade informationen krypterat på deras datorer, men det innebär förstås att man litar på det. För den paranoide (och kunnige) finns faktiskt möjligheten att sätta upp en egen synkroniserings-server.

Den, som vill skapa sig säkra lösenord kan använda sig av en lösenordsgenerator. Till linux finns programmet pwgen (verkar finnas en windows-version också). Annars går det utmärkt att använda sig av en webb-baserad lösenordsgenerator. Vissa sidor tillåter inte specialtecken (ännu ett exempel på kassa webbansvariga), så ibland kan det vara bra att utesluta dessa tecken via inställningarna (pwgen har massvis med olika flaggor för detta, men är lätt att använda om man läser manualen).  Nu är det bara att generera ett nytt lösenord, så fort du behöver ett.🙂 Ska erkännas att det har hänt att jag själv återanvänt ett  lösenord eller två, men i så fall bara på sidor jag litar på.

3 kommentarer leave one →
  1. Chrickolina permalink
    november 15, 2011 13:26

    Jag använder aldrig samma lösenord flera gånger!

    • november 18, 2011 16:34

      Ja, det är väl vettigt. Lätttast i så fall är väl att använda sig av en lösenordshanterare och generera nya slumpade lösenord varje gång. Hur brukar du göra?

  2. december 23, 2014 05:23

    De flesta har en otrolig massa lösenord till olika webbplatser och det är inte lätt att komma ihåg alla. Med Keepass har du dem alltid enkelt till hands.

Tyck till!

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

%d bloggare gillar detta: