Om informationssäkerhet och sekretess i en allt digitalare vardag

Säkerhet

Använd lösenfraser, inte lösenord

9 jan , 2017, 06.00 Linus Nyman

 

Använd långa lösenord (bild gjord med: KeepCalmStudio.com)

“Ditt lösenord måste innehålla stora bokstäver, små bokstäver, siffror, bisarra tecken, varannan bokstav i namnet på en utdöd valuta, och hälften av sista stavelsen av din mormors första husdjurs smeknamn.”

Alla som skapar online konton stöter ibland på mer eller mindre absurda varianter av en liknande text. Påtvingade riktlinjer för lösenord är välmenade – målet är att få oss att skapa tryggare lösenord. Men i praktiken kan resultatet bli det motsatta: vi skapar korta lösenord så vi lättare kan komma ihåg komplexiteten vi tvingats klistra på. Ett sådant lösenord kan uppfylla minimikraven men samtidigt vara mycket osäkert.

Hur skall man då göra för att skapa ett starkt lösenord? För att förstå det är det bra att först förstå lite mera om hur det kan gå till när någon försöker gissa sig fram till vårt lösenord. Vi tittar på tre olika metoder och lyfter på basen av dem fram några enkla riktlinjer.

Ett angreppssätt är att gissa på specifika alternativ. Det finns listor man kan ladda ner på nätet med miljoner och åter miljoner av de vanligaste lösenorden. Listorna toppas år efter år av klassiker som 123456, password, och qwerty (se t.ex. SplashDatas rapport om de vanligaste lösenorden från år 2015).

Lösenord som är så vanliga att de finns på en sådan lista kan varmt rekommenderas för läsare som endast vill skydda sina konton från spädbarn och husdjur. Vill du skydda dig från andra, läs vidare.

Alltså, punkt 1: undvik vanliga lösenord.

Ett annat angreppssätt att försöka komma åt någons online konton är genom gissningar som baserar sig på vad man vet om personen i fråga, antingen via personlig kontakt eller via information som finns på sociala medier. Då kan man gissa sig igenom olika kombinationer av namn (familjemedlemmar, smeknamn, husdjur), årtal (födelsedagar, viktiga datum), intressen (hobbyn, idrottsgrenar, favorit film) med mera.

Punkt 2: undvik personlig information i dina lösenord

Ett tredje angreppsätt är vad som kallas brute-force (eng. “rå styrka”) metoden. Den går ut på att man en efter en gissar sig igenom alla tänkbara teckenkombinationer. Det går inte att hindra en sådan attack från att i något skede gissa rätt, men genom att göra våra lösenord ordentligt långa går det att få det att ta en hiskeligt (teknisk term) lång tid.

Punkt 3: använd lå(åååå)nga lösenord

Det finns internetsidor där man kan testa brute-force tiden på olika lösenord – bl.a. företaget Kaspersky Lab har en sådan sida.

Enligt Kasperskys estimat skulle t.ex. lösenordet “Password#123” kunna knäckas på en sekund av världens snabbaste dator. Däremot skulle “Lösenord#123” klara sig hela 6 minuter. Vi har en viss nytta av svenskans ovanlighet. Men man kan ju tycka att ens lösenord gärna skulle få klara sig lite längre än vad det tar att dricka morgonkaffet.

Hur hittar man på ovanliga, opersonliga, lå(åååå)nga lösenord?

Det är som tur inte speciellt svårt att hitta på starka lösenord. Man kan helt enkelt, som serien Xkcd visar, lägga (minst) fyra slumpmässigt valda ord på rad.

 

Xkcd "Password strength": https://xkcd.com/936/

Lösenordsvisdomar från xkcd.com

 

Vill man så kan man ytterligare stärka lösenordet genom att t.ex. lägga in några stora bokstäver och ett bisarrt tecken eller två. Vissa anfall använder sig av ordböcker för att gissa sig igenom existerande ord. Så man kunde också tänka sig att t.ex. sätta in ett stavfel, eller skriva något ord fonetiskt. (Fast svenska är redan i sig tryggare än engelska med tanke på sådana anfall, tack vare hur mycket ovanligare språket är.)

Risken finns ju att man inte kommer ihåg orden, eller ordningsföljden. Eller något av de extra tricken man satt med. I sådana fall, istället för att byta tillbaka till lösenordet qwerty123 (gör det inte – snälla!) så kan man välja en fras, och en utan några destu större konstigheter. Något som är klart lättare att komma ihåg än helt slumpmässiga ord, men som ändå följer punkterna vi tagit fram.

Vi tar ett exempel. Jag hör själv till den (antagligen rätt stora) delen av mänskligheten som inte både äger en katt och har gett katten (jag inte har) namnet Klaus. Matar vi in lösenordet “JagharinteenkattsomheterKlaus” i Kasperskys tjänst för att testa dess styrka får vi veta, för det första, att Kaspersky tycker det finns vissa brister i mitt val av lösenord (“There are widely used combinations”), och för det andra, att det oberoende estimeras ta någonstans mellan en miljon år och en oändlighet att brute-force gissa det.

Vilken som helst långa, något bisarra eller osjälvklara mening som är tillräckligt lätt att komma ihåg duger när du funderar på lösenord. Skall du inte åka till rymden imorgon? Bra: Jagskallintetillrymdenimorgon. Eller: HundarHopparHögreÄnHajar. SuveränaSvensörplarsinsvampigasoppa. BrunhildaBakarBeskaBullar. Och så vidare.

Tiden det skulle ta för olika datorer att gissa lösenordet #Lös3n@rd1

                      Tiden det skulle ta för olika datorer att gissa lösenordet JagharinteenkattsomheterKlaus (källa: Kaspersky Lab)

Inte ens experterna på Kaspersky kan säga exakt hur länge det tar att knäcka sådana lösenord med brute-force metoden, men de verkar anse det rätt säkert att vi och alla vi någonsin träffat kommer att ha varit döda i hundratalstusen år innan det händer. Vidare så verkar det inte helt osannolikt att även solen kommer att ha hunnit börja dö.

Utan att alls bagatellisera vikten av våra insiktsfulla uppdateringar i sociala medierna kan det nog konstateras att märker man att solen har förvandlats till en röd jätte som sakta börjat sluka närliggande planeter medan den steker bort allt vatten från vår jord, så har man större problem än att någon äntligen lyckats bryta sig in i ett av ens konton.

17 kommentarer

  1. Ange v. Martens skriver:

    Bra skrivet, men jag saknar en kommentar om hur du klarar alla de hundra olika lösenorden. Använder du samma lösenord överallt? Någon av siterna läcker ändå som ett såll. Hur kommer du ihåg vilken fras du använt var? Använder du lika långa fraser på allt från telefon och ipad varje gång skärmen stängs? Etc.etc.

    • Linus Nyman skriver:

      Hej,

      Bra fråga, tack för den! Att använda samma lösenord på olika tjänster är inte bra just för att de, som du säger, ibland verkar läcka som såll. Jag skriver mera om det i nästa blogg, om dataintrång.

      Tycker man att det blir onödigt jobbigt med en massa långa lösenord (och det *är* ju jobbigt) så rekommenderar jag att man använder en så-kallad lösenordshanterare. De kommer ihåg – och t.o.m. skapar – lösenorden åt en. Har man en sådan i bruk så måste man bara komma ihåg ett enda lösenord – det för lösneordsprogrammet. Och programmet sköter resten av lösenorden. Jag har tänkt skriva om dem i något skede, men ville inte klämma in (ännu) mera material i första bloggen.

      Söker man på ”password manager” så hittar man flera alternativ. De finns i gratis och betalversioner. Vill man köra med en inhemsk variant så erbjuder F-Secure en egen: F-Secure Key. Mera på: https://www.f-secure.com/fi_FI/web/home_fi/key (Jag får inte betalt av F-Secure för att nämna deras produkt, utan tar upp dem som alternativ för att jag själv använder deras produkter.)

      Om man inte orkar med en lösenordshanterare, och vet att man inte orkar med en massa långa lösenord, så rekommenderar jag att ta till långa (och unika) lösenord åtminstone för ens viktigaste tjänster. Bland dem e-posten. Kommer någon åt den så kan de komma åt det mesta… (mera om det i nästa blogg.)

      Man kan också tänka sig att ha en lång början som är samma i många lösenord, och sedan endast ändrar på en del på slutet. Unika biten på slutet kan man sedan hitta på utgående från programmet/tjänsten i fråga, så det blir lättare att komma ihåg. Inte lika säkert som långa och helt unika lösenord, men allt är bättre än qwerty123 🙂

      • Matts Roos skriver:

        Lösenordsfraser med många ord godkänns inte på Helsingfors Universitet. Kraven är att lösenordet skall innehålla
        – minst 3 små bokstäver, alla olika och inte i följd
        – minst 3 stora bokstäver, alla olika och inte i följd
        – minst 3 siffror, alla olika och inte i följd
        – minst 3 skiljetecken, alla olika och inte i följd.
        Det blir då minst 12 tecken. Det jag har konstruerat kan lösas av en dator på 485000 år, vilket anses mycket starkt.

        • Linus Nyman skriver:

          Det var en imponerande lista krav! Jag avundas inte dem som måste försöka hitta på ens ett lämpligt lösenord, men bra att du lyckats! ^^

          Men, som jag tog upp i bloggen, jag är inte alls övertygad om att en sådan lista gör mera nytta än att ha klart färre krav, men sedan t.ex. en längre minimilängd. T.ex. det om att inte få ha samma tecken/bokstav i följd minskar ju också på mängden möjliga kombinationer.

          Det påminner lite om en historia om en av de tidigaste krypteringsmaskinerna från 30-40 talet, Enigma. Jag vill minnas att den ursprungligen var gjord så att ingen bokstav kunde krypteras (förvandlas) till densamma bokstaven (”e” kunde aldrig bli ”e” efter krypteringen). Men sedan märkte man att det gör ju livet lättare för de som skall dekryptera/gissa vad de hemliga meddelandena är, för det är en mindre bokstav att måsta gissa på.

          Jag hade nyligen ett lite ovanligare lösenords-skapnings problem. Jag skulle hitta på ett lösenord för en tjänst, men länken till lösenordskraven fungerade inte. ”Skapa ett lösenord – men vi berättar inte vad vi har för krav på lösenordet. Lycka till!”

      • Angelos von Martens skriver:

        Kan du klämma in en kommentar om det att både telefoner och browsers sparar all möjlig inloggningsinfo inkl. Lösenord, vilket ur användarvänlighetssynpunkt är smart, men hur lätt blir det för en hacker att hitta allt?

        • Linus Nyman skriver:

          Hej,

          Jo, viktiga frågor. Men de (och mycket annat) måste vänta på ett eget, senare inlägg – jag försöker hålla bloggarna på kring 1000 ord för att inte skrämma bort folk. Nästa vecka blir det om dataintrång, och inlägg om bl.a. cookies och kryptering är också på kommande. Men jag kan också ta upp annat sparande av lösenord och vilka risker/avvägningar där finns. Tack!

  2. Jutta Leffkowitsch skriver:

    Cool,uttalas kul!

  3. Niklas Sjöblom skriver:

    Intressant, tack!

  4. C skriver:

    Brute force är en grej, men hur många ord finns det i svenskan?

    En attack baserad på ordlista (säg SAOL) i kombination med brute force skulle antagligen ta ner på attack tiden enormt?

    Lösenordsfrasen ovan är ex bara åtta olika ord. Säg att vi har 1000 ord i svenskan som hör till de mest använda. Nu är lösenordet endast 8 ”ord” långt, men iofs har varje ord 1000 alternativ, flere än olika siffer/bokstavs/tecken.

    Kan nån räkna ut hur länge det skulle ta att bryta lösenordet på basen av det ovan nämnda?

    • Linus Nyman skriver:

      Halloj,

      Jag skickade en tid sedan en förfrågan åt Kaspersky om vad deras beräkningar utgick ifrån gällande antalet gissningar/sekund för de olika datorerna, men har inte (åtminstone ännu) fått svar.

      Men utgår vi från dina siffror så kan vi åtminstone räkna ut antalet möjliga kombinationer av ord. (Eller, rättare sagt, *försöka* räkna ut det… fast jag har en fysiker till far och hade en briljant statistiklärare [heja Suki!] så är det osäkert vem som skulle vinna om jag utmanade min dörrmatta till en matematiktävling.)

      Vi har 1000 ord att utgå från. Vi väljer ett lösenord på 8 ord. Vidare utgår vi från att vi får använda samma ord flera gånger om vi vill. Då har vi 1000 x 1000 x 1000 x 1000 x 1000 x 1000 x 1000 x 1000 möjliga kombinationer av ord. (Får man inte använda samma ord så 1000 x 999 x 998 etc.)

      Alltså finns det totalt (tappa inte en nolla nu, Linus, tappa inte en nolla…) 1000000000000000000000000 möjliga kominationer av våra åtta ord.

      Men tänker vi oss att vi t.ex. får använda namn i vårt lösenord så borde vi öka antalet till mera än 1000. Och de som gör anfallet mot oss måste då också veta vilka 1000 ord vi valt bland, *och* att vi använder just precis 8 stycken ord. Måste de först gissa sig igenom alla 1000 ord, sedan alla tänkbara varianter av två ord, tre ord, fyra etc. så blir det hiskeligt (teksnik term) mycket flera gissningar.

      Om man sedan tänka sig att vi fått byta ut ett eller flera ”a” mot ett ”@” eller ett eller flera ”e” mot en ”3”a, osv, så skjuter mändgen tillägsmöjligheter i höjden.

      Hur länge det sedan tar beror på hur snabb dator man har tillgång till och på om man har direkt tillgång till att gissa på lösenordet. (T.ex. online tjänster tillåter inte att man bombaderar dem med felaktiga gissnignar.) Det finns skrivet om datorer som gissar lösenord, men en längre genomgång får bli till en senare blogg. Men t.ex. en intressant artikel om datorer designade att tugga igenom lösenord hittar ni här: http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

      Den påstås kunna göra 350 miljarder gissningar per sekund. Och den maskinen är redan 5 år gammal – en halv evighet i datorvärlden. Så, som sagt, jag hoppas vi alla håller oss till långa lösenord… 🙂

  5. Rabbe Sandelin skriver:

    Lösenordsfraser kanske ändå inte så bra längre:

    http://www.netmux.com/blog/cracking-12-character-above-passwords

    ” XKCD’s password strength cartoon of four random words is sound but only for non-fast hashing algorithms like bcrypt. In this article we will demonstrate Combo and Hybrid Attacks using Hashcat that will expand your cracking knowledge toolkit. These examples will show how an attacker can efficiently attack this larger keyspace, with modern hardware, and make these so called strong passwords succumb to his cracking methodology.”

    För vanliga användare blir det även lockande att använda samma lösenordsfras på flera sajter (med alla de problem det medför) tycker jag att rådet idag borde lyda: Använda en lösenordsgenerator (t.ex. LastPass) som skapar lösenord med stor entropi. Då räcker det med 12-16 bokstäver.

    • Linus Nyman skriver:

      Hej,

      Det är alltid en avvägning i säkerhetsfrågor. För många av oss blir frågan i stil med, vad är det säkraste jag kommer att orka med i längden. Långa lösenordsfraser är inte det bästa möjliga alternativet, men ett mycket bra första steg mot säkrare lösenord. Som jag tagit upp i ett tidigare svar (och kommer att ta upp i en senare blogg) så är en lösenordshanterare ett mycket bra alternativ, för dem som ”orkar” med det. Men jag utgår inte ifrån att alla gör det.

      Artikeln du refererar till hade ju (som tur) ett antal krav, vilket sätter oss i en klart bättre position. T.ex. var det fråga om ord på engelska, alla skrivna med små bokstäver, inga stavfel/fonetiskt skrivna ord, och endast ord som finns med på en (nog mycket stor) ordlista. Som jag tog upp i bloggen så har vi tur med svenskans ovanlighet.

      Men jo, lösenfraser är endast ett första steg. Om man verkligen vill börja bry sig om informationssäkerhet, och speciellt om man vill säkra många konton utan att komma ihåg många fraser, så är det precis bara det: ett första steg. (Flera steg kommer i senare bloggar, bl.a. i form av en intervju med Troy Hunt, en infosec expert som nämns i artikeln du länkade till.)

  6. Stefan skriver:

    Kasparsky lab uppger att superdatorn skulle använda 10 år att knäcka ordet ”lösenordssäkerhet”…. varför inte…

  7. Henrik skriver:

    Lösenords-generatorerna på nätet ger svårknäckta lösenord men risken finns att de sparas i listor och säljs eller blir stulna

  8. Fred Sundén skriver:

    Jag har läst om en manick som heter Everykey som genererar och sparar unika lösenord. Då manicken kommer nära en apparat så skickar den det rätta lösenordet åt apparaten. Beskrivningen låter riktigt bra och enkel.
    Har du synpunkter på Everykey?

    • Linus Nyman skriver:

      Hej,

      Jag har aldrig testat den, så har inga egna åsikter. Den är såpass ny att det knappast är så många ”white hat” hackers som har hunnit försöka bryta sig in i den heller. Åtminstone hittade jag inte på basen av en snabb sökning något.

      I teori är jag för allt som får människor att köra med starkare lösenord. Everykey verkar behändigt, om än aningen dyrt. Men bryter någon in sig t.ex. i ens e-post konto och sätter livet upp-och-ner så sku någon hundring för att undvika det ju ha varit hur billigt som helst… ^^

      Tyvärr kan jag inte ge mera specifika tankar. Det verkar bra, men slutliga vittsordet kan man bara ge när tillräckligt många testat om de kan bryta sig igenom säkerheten. Det finns ett antal review-artiklar om den, skrivna av sådana som faktiskt testat den. Så kolla lite på nätet och avgör sedan.

      Men, min ståndpunkt har alltid varit, att allting är bättre än qwerty123. Vilka brister Everykey än kan tänkas visa sig ha så är de knappast värre än att man kör med dåliga lösenord, och/eller återanvänder lösenord på flera tjänster… 🙂

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *