Skippa lösenorden på dina onlinekonton – använd snuskiga meningar i stället

Från 2022

Publicerad 12.05.2022 05:59.

En skärm som visar lösenordet "123456". — Bildtext Lösenord är ett nödvändigt ont i vardagen, men är inte så säkra som vi kan tro
Bild: imago/Ralph Peters/ All Over Press

Det bästa lösenordet du kan ha är inte ett lösenord, utan en lösenordsfras bestående av fyra ord. Det här menar Marcus Nohlberg, docent i cybersäkerhet, som har forskat i saken i många år och dessutom tagit fram programvara som ska hjälpa till med det.

En konsekvens av kriget i Ukraina är att många länder allt tydligare varnar för potentiella cyberangrepp och påverkansförsök via nätet. En av de allra svagaste punkterna är de myriader av lösenord vi har i vardagen.

Lösenordens historia är gammal

Lösenord har sedan länge använts för att exempelvis identifiera varandra i krig eller för att ge exklusiv tillgång till platser och utrymmen. På 1960-talet tog de språnget in i datoråldern, och har sedan dess varit något av en av hörnstenarna i den här miljön.

Men lösenord i den moderna världen har ett fundamentalt problem. De är, som en skribent i tidningen The Conversation skrev, en representation av mig i en virtuell miljö utan att jag behöver vara fysiskt närvarande.

Det betyder samtidigt också att den som har mitt lösenord på sätt och vis är jag i den virtuella världen. Det här känns ju inte nödvändigtvis helt tryggt.

Cybersäkerhetsforskare Marcus Nohlberg — Bildtext Marcus Nohlberg har forskat och arbetat med lösenord och onlinesäkerhet länge, och tycker att lösenorden aldrig riktigt varit särskilt bra.
Bild: Högskolan i Skövde
cybersäkerhet,lösenord,IT,hackare,äldre,forskning

– Grejen är den att lösenord aldrig har varit en bra lösning, säger Nohlberg. Det har varit en pragmatisk lösning som har fungerat rätt ok, men vi har alltid varit på väg någon annanstans och haft idéer om hur vi ska förändra lösenord.

Trots det är lösenord en oundviklig del av vår vardag. De styr mycket av det vi gör både privat och i arbetet – vi har lösenord till vår bank, vår arbetsdator, vår telefon, våra sociala medier, vår e-post, vårt nätverk ... och så vidare. Och ju fler lösenord vi har behov av, desto värre blir det.

Petteri Forsells hund Wuca ligger på en soffa. — Bildtext Din gulliga hund kan bli början på slutet för din säkerhet på nätet – om du använder hens namn i varje lösenord åtminstone, vilket många gör.
Bild: Sebastian Backman / Yle
Petteri Forsell

Med tanke på hur länge konceptet med lösenord har funnits, så kunde man ju tänka att vi haft god tid på oss att finslipa det och göra det till ett idiotsäkert system. Men så är det inte riktigt.

– Det klassiska rådet för ett bra lösenord, säger Nohlberg, är fjorton tecken, blandade små och stora bokstäver. Det ska inte innehålla några ord, aldrig vara nedskrivet, inte upprepas någonstans och ska helst ha utökande tecken, utropstecken och så vidare.

Det här ska vi sedan ha olika varianter av till alla våra konton och helst byta dem en gång i månaden. Det finns ju inte en människa som kommer ihåg det här!

4P: privat, personligt, praktiskt och provocerande

Men finns det något bra sätt att göra det här på?

– Jo, man ska använda en fras, säger Nohlberg.

Han och hans kollegor har döpt detta till 4P – privat, personlig, praktisk och provocerande.

Praktiskt i bemärkelsen att det ska vara något lätt att komma ihåg.

– Det finns egentligen inget som talar för att man behöver använda utökade tecken, små och stora bokstäver och så vidare, säger Nohlberg.

Det är längden som är det avgörande. Krångligheterna används i nuläget för att ta fram relativt korta lösenord, men, menar Nohlberg, korta lösenord knäcks av hackare på under en timme.

Beyonce Coachella-festivaalilla. — Bildtext Hur mycket du än diggar Beyonces största hits ska du inte använda texterna från dem i dina lösenfraser
Bild: ©Netflix/Courtesy Everett Collection/All Over Press
Beyoncé,KulttuuriCocktail

Personligt ska det vara på så sätt att du inte ska välja en känd fras, ett bekant citat, eller någon del ur en sång. Det ska i stället ha betydelse för just dig.

Med privat avser Marcus helt enkelt att det är en fras du inte delar med dig av till någon. Vilket underlättas av det fjärde P:et – att det ska vara provocerande.

– Det kan gärna vara lite porrigt, säger Nohlberg. Snuskigt, lite pinsamt, någonting man inte vill säga högt. Och det beror på att vi dels kommer ihåg det bättre och dels att vi blir lite mera noga med det och inte lämnar ut det.

Bildtext Lite erotik i ditt internetbeteende kan göra allt mycket säkrare pornografi,Porno

Marcus Nohlberg menar att man kan knäcka ett lösenord på åtta tecken på cirka 37 minuter med en vanlig dator med ett hyfsat grafikkort. För en professionell hackare innebär det här sekunder.

Med frassystemet däremot, menar Nohlberg att antalet teckenkombinationer blir så många att säkerheten får en ordentlig skjuts, utan att själva lösenordsfrasen i sig är så krånglig för oss själva.

– Om vi har fyra ord kommer vi kanske upp i 16 till 20 tecken, och då talar vi plötsligt om miljoner år att knäcka.

Äldre och personer med speciella utmaningar får hjälp

Marcus Nohlberg har tillsammans med skövdeforskarna Joakim Kävrestad, adjunkt i informationsteknologi och Jana Rambusch, lektor i kognitionsvetenskap och företaget Xenolith AB utvecklat en mjukvara kallad WebSec Assistant.

– Det vi har gjort är en programvara, säger Nohlberg, som du laddar ner till din webbläsare som sen hjälper dig vid ett antal riskabla beteenden. Till exempel om du klickar på länkar får du information om nätfiske, om du ska skapa lösenord får du hjälp och förslag för att göra det säkert.

Kaksi eläkeläistä tutkii Koronarokotusaika.fi sivustoa. — Bildtext Det kan vara en utmaning att vistas på nätet, även som ung och frisk. Många äldre upplever, enligt Marcus Nohlberg, direkta obehag av att behöva använda internet.
Bild: Henrietta Hassinen / Yle
koronaviruspandemi,Helsingfors och Nylands sjukvårdsdistrikt,Coronavaccin,Appointment scheduling software,tidsbeställning,Användaridentifikation av nätbank,Mobil ID,pensionärer,Esbo

Mjukvaran är en del av projektet "Utveckling av beslutsstöd för användare i riskfyllda situationer online", även kallat UBARSO.

– Det unika med det här är att vi gjort den i samarbete med personer med kognitiva nedsättningar, berättar Nohlberg. Det finns väldigt lite forskning som gjorts på hur man hjälper de här grupperna.

Många råd om hur man ska agera på nätet tenderar att vara riktade till folk som är vana internetanvändare, oftast friska och yngre personer.

Det som är speciellt med den mjukvara Nohlberg och hans kollegor tagit fram, är att den har fokuserat på grupper som vanligen glöms bort i många IT-sammanhang, som exempelvis äldre, dyslektiker, folk med olika neuropsykiatriska nedsättningar och liknande.

Nohlberg berättar att de gjorde en studie med drygt 1 600 äldre, och konstaterade att en tredjedel av dem var direkt rädda för att vara online. Instruktionerna för beteendet på nätet är ofta oanvändbara för de här, menar Nohlberg. De är för krångliga.

För folk med exempelvis svår dyslexi är de nuvarande lösenordsnormerna också ett hinder, säger Nohlberg.

– Fjorton tecken, stora och små bokstäver och så vidare, säger Nohlberg. Och sen när du ska skriva in det döljs det av sådana där stjärnor. Lycka till om du är dyslektiker!

Ofta leder det till att man väljer ett tangentbordsmönster som är osäkert, för det är det som funkar. Och det är det här vi försöker hjälpa till med.

– Ännu har vi ju inte löst hela problemet, men det är ett försök att hjälpa.

Taggar:

Dörrarna öppnas till en tom färjeterminal med två stora blå mattor på golvet, där det står Port of Helsinki.

Helsingfors och Nådendals hamnars webbplatser har kraschat – rysk hackergrupp tog på sig skulden

Gruppen har också tagit på sig ansvaret för andra attacker.

En bild på ett chattmeddelande på Whatsapp på en mobiltelefon.

EU-kommissionen vill kunna läsa allas digitala meddelanden

Förslaget får hård kritik av experter.

Cyberattacker mot Finland har blivit vanligare – hotnivån har stigit i och med Natomedlemskapet

Symboliska överbelastningsattacker allt vanligare.

Även Yles nättjänster utsattes för överbelastningsattack på tisdagen

Yles nättjänster utsattes för en överbelastningsattack den 4 april. Användarna märkte den inte eftersom Yle lyckades begränsa effekterna av attacken.

”Yle är ett kritiskt företag för underhållssäkerheten och vi har ett ansvar för att se till att våra tjänster fungerar. Därför är vi beredda på den här typen av situation. Vi kunde reagera snabbt och våra experter kunde minimera effekterna av överbelastningsattacken”, säger Yles teknikchef Janne Yli-Äyhö i ett pressmeddelande.

Samma dag rapporterades det om motsvarande attacker mot flera andra finländska nättjänster.

”Det är bara en gissning om attacken mot Yle är relaterad till dem, men den har skett vid samma tid”, säger Yli-Äyhö.

Riksdagens webbplats fungerar igen, men HRT:s webbplats ligger fortfarande nere – utsattes för cyberattack från ryskt håll

Rysk hackergrupp säger sig ligga bakom angreppen.

En illustration med en börskurva som pekar uppåt, och en pansarvagn som pryds med fredssymboler.

“Etiskt rätt att investera i vapen” – fond som satsar på försvarsindustrin växer

Stort skifte i hur världen ser på investeringar i vapen.

Vetenskap