Hoppa till huvudinnehåll

Glöm det där med siffror, stora bokstäver och specialtecken – nu gäller nya principer för ett säkert lösenord

Grafik som visar robot bredvid texten "Lösenord".
Det är inte längre krångliga lösenord med olika bokstäver och specialtecken som gäller, menar experterna. Grafik som visar robot bredvid texten "Lösenord". Bild: Sebastian Dahlström (bildcollage), Mostphotos (bild) lösenord,datasäkerhet

Har du alltid konstruerat dina lösenord enligt gamla rekommendationer om att lösenordet ska innehålla flera siffror, specialtecken och stora bokstäver? Då har du gjort det alldeles i onödan.

Mannen som skapade den här standarden för nästan 15 år sedan medger nu att de gamla reglerna i praktiken är värdelösa.

IT-experten Bill Burr, som tidigare var chef för National Institute of Standards and Technology (NIST) i USA, har tagit avstånd från sina gamla rekommendationer.

Burr skissade år 2003 upp en åtta sidor lång guide i vilken han redogjorde för hur man skapar säkra lösenord. Hans dokument har länge använts som direktiv för hur lösenord ska skapas för allt från e-postkonton till nätbanksinloggningar.

Reglerna om att man bör använda många specialtecken och siffror härstammar alltså ursprungligen från Burrs dokument.

Specialtecken kan göra lösenord sårbara

Men Bill Burr var inte någon säkerhetsexpert och visste de facto inte särskilt mycket om hur lösenord fungerade när han skrev manualen.

Den nu 72-åriga pensionären Burr har i färska intervjuer bett om ursäkt för sina tidigare råd och rekommendationer.

Burr medgav nyligen i en intervju för The Wall Street Journal att hans anvisningar om säkra lösenord till stor del grundade sig på ett policydokument från 1980-talet, före webben ens fanns. Burr säger att han var inne på fel spår i sina gamla rekommendationer.

Det har senare visat sig att ett lösenord som TILLEXEMPELDETHÄR är mycket svårare att knäcka än 40&987!*LO#95 eller ett dylikt ”nonsenslösenord” med ett hopkok av olika specialtecken.

- Det är bättre att ha lite längre lösenord, med riktiga meningar som man kommer ihåg istället för en massa roliga tecken, säger Bill Burr till CBS News.

Enligt en forskare vid Microsoft använder mänskligheten en tid motsvarande över 1 300 år varje dag till att skriva in lösenord.

Längden på lösenordet avgörande

Cybersäkerhetsexperten Jani Kirmanen håller med om att korta lösenord med många specialtecken inte längre är att föredra.

- Det viktigaste är att använda lösenord som är så långa som möjligt, minst 20 tecken, säger Kirmanen.

Om man har ett lösenord på under 10 tecken så har det ingen skillnad hur många specialtecken man använt, enligt Kirmanen.

- Det är endast längden på lösenordet som är avgörande och som gör det svårare för en dator att knäcka lösenordet.

Enligt Kirmanen är det ett problem att det fortfarande finns nätbanker och andra tjänster där det inte går att välja ett längre lösenord, eftersom teckenmängden för lösenordet är begränsat.

Det är bättre att ha lite längre lösenord med riktiga meningar som man kommer ihåg― Bill Blurr, tidigare chef för National Institute of Standards and Technology

Han påminner också om att det är viktigt att ha skilda lösenord för olika tjänster, till exempel jobbmejlen, den privata e-postadressen, Facebook och så vidare.

Hellre lösenmening än lösenord

Enligt Jani Kirmanen är det betydligt lättare för oss att komma ihåg hela fraser än enskilda ord och ett hopkok av specialtecken.

- Jag tycker vi borde använda lösenmeningar istället för lösenord.

Han rekommenderar att välja lösenord som har något med just den tjänsten att göra som man håller på att skapa ett lösenord för, då kommer man lättare ihåg det.

Grafik som föreställer en person som skriver in en mening som lösenord i datorn.
Bättre att använda meningar än enskilda ord och specialtecken i lösenord. Grafik som föreställer en person som skriver in en mening som lösenord i datorn. Bild: Sebastian Dahlström datasäkerhet,lösenord

- Ifall man till exempel använder Twitter för att följa med fotbollsevenemang kunde man använda lösenordet TWITTERISMYFAVORITEPLACETOFOLLOWFOOTBALLEVENTS (översättning: Twitter är min favoritplats för att följa med fotbollsevenemang).

Onödigt att byta lösenord ofta

Enligt Jani Kirmanen finns det inte någon absolut regel för hur ofta man borde byta lösenord. Det viktiga är att man väljer ett bra och tillräckligt långt lösenord från första början.

- Ifall man byter lösenord alltför ofta kan det leda till att lösenorden bara blir sämre.

Jag tycker vi borde använda lösenmeningar istället för lösenord― Jani Kirmanen, cybersäkerhetsexpert

Men det är skäl att byta lösenord senast när man hör om en cybersäkerhetsattack. Till exempel tjänsterna Linkedin och Dropbox drabbades av omfattande cybersäkerhetsattacker ifjol där tiotals miljoner lösenord läcktes.

- Det är förvånansvärt vanligt att folk fortsätter använda sina gamla lösenord också efter den här typen av läckor, säger Kirmanen.

Men tillbaka till Bill Burr och hans ånger. Allt kan man inte skylla enbart på honom. I början av 2000-talet fanns det väldigt lite forskning om lösenord och datasäkerhet till hands.

- Jag kunde ha gjort ett bättre jobb med att lista ut de saker som vi nu vet, ursäktar sig Burr till CBS News.

Cybersäkerhetsexperten Jani Kirmanen påminner ändå om att ett bra lösenord inte är ett absolut skydd mot alla cybersäkerhetshot i dagens komplicerade värld.

Källor: The Wall Street Journal, CBS News, Gizmodo

Läs också

Nyligen publicerat - Inrikes