Lösenordssäkerhet: Undvik att bli Inge Koll

Detta inlägg är en uppföljning på historien om Inge Koll som råkade ut för den illvillige Sten Koll.

Om du inte har läst det inlägget så bör du läsa det först:

Lösenordssäkerhet: Historien om Inge Koll

Vad kunde Inge Koll ha gjort annorlunda?

Nu tänker du kanske:
"Benj4min2018 är ju ett uppenbart klantigt val av lösenord. Han hade klarat sig klart bättre om han hade använt något i stil med u7Gw63HJx"

Både ja och nej.
Om han hade använt olika lösenord överallt så hade han suttit relativt säkert.

Hade han däremot använt lösenordet u7Gw63HJx på flera ställen och dessutom angett det i Stens webbutik Kungliga Klockor så hade lösenordets komplexitet inte hjälpt honom ett dugg.


Varianter av samma lösenord är verkningslöst

Även om det innebär en liten obekvämlighet för hackaren så är det i praktiken verkningslöst att exempelvis använda lösenordet Benj4min2018 för LinkedIn och benjamin2017 för Facebook.

Sådana variationer är det första en hackare testar när de har fått en indikation på vad du använder i ditt lösenord.


Tips för att skapa unika, svårknäckta lösenord som du kommer ihåg

Att skapa unika lösenord som u7Gw63HJx för varje hemsida och dessutom komma ihåg alla är givetvis en omöjlighet.

Men tänk om du inte behövde komma ihåg lösenorden, utan endast regeln för att skapa dem?

Börja med att komma på ett grundord för varje "kategori" av webbsidor du besöker. Dessa är de enda orden du behöver komma ihåg.

 

Exempel:
Sociala medier: elefant
Onlinekasino & spel: humla
Webbutiker: spindel

 

 

Därefter lär du dig dina regler:

  • Lösenordet utgår alltid från grundordet för hemsidans kategori
  • Lösenordet skall alltid börja på (valfritt specialtecken)
  • Lösenordet skall alltid sluta på (valfritt specialtecken)
  • Efter den första bokstaven i grundordet infogar jag de två sista bokstäverna i hemsidans adress.
  • Före den sista bokstaven i grundordet infogar jag de två första bokstäverna i hemsidans adress.

Nu kan du skapa unika lösenord för vilken hemsida och komma ihåg dem med lätthet.

 

Exempel 1:
facebook.com tillhör sociala medier och har därför grundordet elefant.
Lösenordet blir då *eomlefanfat#  (*eomlefanfat# )

Exempel 2:
ca
sinostugan.se tillhör onlinekasino och har därför grundordet humla.
Lösenordet blir då *hseumlcaa#  (*hseumlcaa#)

Detta gör det avsevärt mycket svårare för en hackare att hitta mönster för att kunna använda ditt lösenord på flera olika sajter.

Om Inge Koll skulle ha tillämpat denna metod så skulle hans lösenord på kungligaklockor.se ha varit:
*ssepindekul#

Sten Koll hade inte haft det minsta nytta av detta lösenord, och hela hans plan hade skjutits i sank.


Mobiltelefonen räddar dagen: Tvåfaktorsautentisering

Tvåfaktorsautentisering innebär att exempelvis Facebook, LinkedIn, Twitter, Apple, och Google skickar en verifieringskod till din mobiltelefon när en inloggning sker från en dator eller telefon som inte tidigare har varit inloggad.

För att aktivera tvåfaktorsautentisering anger ditt mobiltelefonnummer på respektive sida samt aktiverar det under inställningar. På många sidor blir man dessutom tillfrågad om det redan vid inloggning om man inte har angett något mobiltelefonnummer.

Om Inge Koll hade haft tvåfaktorsautentisering aktiverat så hade Sten inte kunnat logga in utan hans godkännande, även om han visste lösenordet.

Aktivera tvåfaktorsautentisering, och gör det idag.


Ingen kedja är starkare än den svagaste länken

Den gemensamma nämnaren för alla dina konton är din epostadress. Det räcker egentligen att en illvillig person får tillgång till ditt epostkonto, så har hen indirekt tillgång till alla dina konton via "glömt lösenord"-funktionen på respektive sida.

Detta konto är därför det viktigaste att skydda och man bör anstränga sig en smula för att göra det.

En bra grundregel är följande:

Använd aldrig samma lösenord som du använder till ditt epostkonto på något annat ställe.


Slutsats

Man kan inte skydda sig mot allt, men man kan begränsa skadeverkningarna vid en attack avsevärt med ganska enkla medel. Det allra viktigaste är att isolera hackaren så att hen kommer "hit, men inte längre" om man skulle råka bli lurad.

Det är inte alltid lätt att upptäcka phishingsidor som Kungliga Klockor, och Inge Koll är på intet sätt naiv för att han försökte skapa ett konto där. Hans val av lösenord var däremot naivt.


 

Är du osäker på hur din eller ditt företags digitala identitet skulle stå emot attacker från personer som Sten Koll?

Jag kan hjälpa er att utvärdera och identifiera era digitala svagheter.
Kontakta mig om ni vill veta mer.

emil@ka50.se