Byt lösenord idag – eller ångra dig i morgon

Hör du till dem som använder barnens namn som lösenord överallt? Då ska du helt klart läsa vidare. Den sjunde maj infaller World Password Day, en förbisedd men ack så viktig internationell temadag.

Cybersäkerhet blev ett brännande ämne när många under våren bytte kontorets skyddade IT-miljö mot hemmanätverkets ibland papperstunna säkerhetsprotokoll. Intrång från obehöriga kan vara nog så frustrerande när det gäller privata användarkonton, men för företag där de anställda nu jobbar hemifrån med känsliga uppgifter kan de potentiella följderna av en hackerattack vara långtgående.

Att miljontals människor nu jobbar på distans världen över innebär förstås högsäsong för cyberbrottslingarna, som numera inte själva behöver vara kodknäckande genier – färdig programvara finns att tillgå, som hjälper till att hitta svagheter och ta kontroll över offrens datorer.

Myndigheten för samhällsskydd och beredskap (MSB) uppmanar alla som arbetar hemifrån under den pågående pandemin att ta reda på vilka riktlinjer som arbetsplatsen har satt upp kring IT-säkerhet vid distansarbete, och att följa dessa noga. Är det okej att koppla in en privat USB-sticka i företagets dator? Krävs en säker VPN-anslutning? Får arbetsdokument sparas ner lokalt?

Världshälsoorganisationen WHO har som en av coronakrisens nyckelspelare blivit måltavla för åtskilliga attacker. WHO uppger att man har registrerat en femfaldig ökning i antalet cyberangrepp. I mars upptäcktes bland annat ett försök att komma över lösenordsuppgifter från organisationens anställda, där hackers hade bytt ut medarbetarportalens inloggningssida mot en mycket trovärdig kopia.

I april läcktes 450 mailadresser och lösenord tillhörande WHO på nätet, tillsammans med tusentals andra som arbetar med bekämpning av coronautbrottet. Att kunna utnyttja människors välvilja under pandemin genom att skicka mail från en WHO-adress är förstås en önskedröm för den som ägnar sig åt så kallat nätfiske. Metoden, som också kallas phishing, går ut på att förmå mottagaren att klicka på en länk för att ovetandes installera skadlig programvara.

Förutom att aldrig klicka på länkar i mail som du inte väntat dig att motta (eller från din närmaste kollega när denne helt plötsligt formulerar sig på engelska) försvårar du intrång genom att hålla ditt virusskydd uppdaterat och att i möjligaste mån använda den senaste versionen av operativsystem och programvara.

Men det mest grundläggande skyddet av alla, och det som de flesta också slarvar mest med, är att använda säkra lösenord som inte återanvänds på flera ställen. Vi uträttar idag allt mer på nätet, både privat och i tjänsten, och lösenordet är till syvende och sist nyckeln till ditt liv online. Den sjunde maj varje år infaller World Password Day, just för att uppmärksamma oss på detta viktiga.

Ett lösenord som består av fyra tecken, oavsett om du blandar stora och små tecken med siffror, kan en dator knäcka på mindre än en sekund genom att testa olika kombinationer. Med sex tecken i lösenordet ökar denna tid till 13 minuter – fortfarande ett ganska otillräckligt skydd för dina mest delikata uppgifter.

Gör detta på en gång om du inte har bytt lösenord under året:

Skaffa ett säkert lösenord som är unikt för varje tjänst du använder. Ett säkert lösenord är minst 12 tecken långt och består av både små och stora bokstäver, siffror och specialtecken. Det ska inte innehålla ord eller namn, inte heller sekvenser från tangentbordet som QWERTY, och definitivt inte personliga uppgifter man lätt kan hitta online, som exempelvis din adress. Uppfyller ditt lösenord allt detta tar det uppemot fem miljoner år (!) för datorn att knäcka det.

Det är ingen som kräver att du ska komma ihåg hela raddan med tecken – lösenordshanterare som LastPass eller 1Password hjälper dig både att generera slumpmässiga lösenord, och att hålla reda på dem. Låt inte webbläsaren spara lösenord även om det är bekvämt.

Aktivera tvåfaktorsautentisering där detta är möjligt. Genom att lägga till exempelvis ett telefonnummer för bekräftelse med en engångskod kan du stoppa inloggningen om någon ändå skulle ha lyckats komma över ditt lösenord, och blir samtidigt varnad så att du kan byta ut det.

Använd olika mailadresser till dina konton – till exempel en adress för viktiga inloggningar, en annan för mindre viktiga och en tredje adress för att kunna ta emot återställningsmail om någon av de två första mailadresserna skulle bli hackad.

Byt (kanske) ut dina lösenord med jämna mellanrum. Till skillnad från ett fint vin blir ditt lösenord bara sämre med tiden. Detta eftersom sannolikheten att någon lyckas knäcka det, eller att tjänsten du använder drabbas av en dataläcka, ökar med tiden. Genom att byta lösenord kanske var tredje månad nollställer du den risken. Här kan återigen en lösenordshanterare vara behändig.

Detta råd är dock inte realistiskt om du hanterar en stor mängd konton, och du kan inte heller kräva av dina anställda att de ska byta lösenord stup i kvarten – risken är då stor att de börjar använda enkla lösenord som är lätta att komma ihåg. Viktigare än att byta ofta är då istället att fokusera på att ha långa, säkra lösenord och bara byta vid ett bekräftat intrångsförsök.

Skicka aldrig lösenord per mail. Se till att du inte heller har viktiga lösenord uppskrivna på papper eller lagrade i molntjänster.