Vilket är det dummaste lösenord man kan välja?

Jonas Thambert, it-säkerhetsexpert på cert.se, svarade på läsarfrågor om säkerhet på internet. Se alla frågor och svar nedan.

26 oktober 2011 kl 11:19, uppdaterad: 26 oktober 2011 kl 17:41

Abisko:

Många, om inte de flesta, sidor på nätet tillåter bara ca 12 tecken och endast bokstäver och siffror men inte specialtecken. Beror det på ren slöhet från företagens sida eller finns det en teknisk förklaring till att dom begränsar mer komplicerade lösenord?

Jonas Thambert:

Egentligen inte. Nog så att sidägarna valt att sätta den gränsen.

erik:

Hur ska man med enkla medel skydda sig från att bli hackad? (om det går)

Jonas Thambert:

Använda ett modernt operativsystem och hålla det uppdaterat. Både Mac OSX Lion och Win7 är svårare att infektera än tidigare versioner. Ett bra antivirus och en brandvägg är också bra att ha samt sunt förnuft när man surfar och installerar program.

Volvoarbetare:

Själv kör jag med keepass, som finns till mac,windows,linux,android,iphone. Jag har ett grymt säkert lösenord jag bara har använt på ett ställe. Sedan har jag för alla andra sites, email, helt genererade lösenord på mellan 15-25 tecken (numeriska,bokstäver,underscore,osv). Jag känner mig ganska säker på att om ett lösenord skulle läcka ut så kan man inte använda det någonstans för att ta sig in på andra siter med mitt namn.

Jonas Thambert:

Bra tips! Lösenordsprogram tycker jag är betydligt bättre än att använda samma lösenord på en massa ställen.

Bertil:

Hej! Jag har ett långt och bra lösenord med både siffror och bokstäver, versaler och gemener. Men en del av lösenordet är ett av mina namn - hur ser du på det?

Jonas Thambert:

Givetvis försvagar det lite lösenordet eftersom det blir lättare att gissa, men eftersom du har lagt till och ändrat om så kommer det bli betydligt svårare att knäcka om man kommer över lösenordshashen.Tycker du kan vara lugn.

Sulan:

Rekommenderar du att man ska använda lösenordshanterare på sin dator antingen direkt i Webbläsaren eller något annat program som ”Password Safe” för Windows eller ”Nyckelhanteraren” i Mac OSX? Risken är ju så klart att någon som hackar lokala datorn kommer åt alla lösenord, men å andra sidan kan programmet komma ihåg bra och starka lösenord för alla sajter.

Jonas Thambert:

Sådana program är väldigt bra! Rekommenderar dom helt klart före att ha samma lösenord överallt.

Daniel:

Vad är bäst MD5? Bör man salta lösenorden också?

Jonas Thambert:

Saltade lösenord är väldigt bra. Det gör att så kallade rainbow tables inte går att använda lika lätt. Det finns modernare hashningsfunktioner som SHA-512 och SHA-256 som är bra.

Karl:

Kan man lite på svenska VPN tjänster?

Jonas Thambert:

I vilket avseende då? Beror givetvis vad du är ute efter.

Börje K:

Hur är det med kontouppgifter, vågar man handla på nätet?

Jonas Thambert:

Det tycker jag absolut. Använd gärna kreditkort eller ett kortnummer som du bara använder en gång med en max-gräns på. Vet att det finns banker som erbjuder sådana tjänster. Anledningen till att använda kreditkort före kontokort är för att du då har lättare att bestrida ett felaktigt köp du inte gjort.

Jonte:

Hej! Jag anser att jag har ett rätt säkert lösenord, men använder mig av det på flera ställen eftersom jag tycker det är krångligt att hålla reda på flera olika. Vad är risken för mig att bli hackad?

Jonas Thambert:

Även fast du har ett långt och bra lösenord så finns risken att någon av sidorna du använder det på lagrar lösenorden i klartext eller med en svag kryptering. Då spelar inte lösenordslängden någon roll.

maja:

Hej! Hos vem ligger egentligen ansvaret? Visst, folk sätter dåliga lösenord, men borde det inte vara upp till sajterna att ha ordentlig säkerhet?

Jonas Thambert:

Personligen tycker jag att siterna ska ställa krav på användarnas lösenord, dvs de ska vara av viss längd, innehålla båda siffror och bokstäver, gärna med specialtecken. Sedan måste givetvis dessa lagras på ett säkert sätt också på siten.

Diana:

Hur hårda straff riskerar de som ligger bakom den senaste stora hackerattacken?

Jonas Thambert:

Straffskalan för dataintrång är böter eller fängelse upp till 2 år.

Oskar:

Hej Jonas. Är det skillnad på hur säkra etablerade sajter som Amazon och Bokus, exempelvis, är – jämfört med Bloggtoppen.se?

Jonas Thambert:

Det tror och hoppas jag. Det sättet som bloggtoppen sparade lösenord på var väldigt dåligt. Större sidor brukar låta säkerhetsföretag granska koden och sidan för att säkerställa att det inte ska gå att bryta sig in och dumpa databasen.

Lotta:

Vad är vanligaste lösenordet bland svenskar? 1234?

Jonas Thambert:

Skulle gissa abc123 eller samma som användarnamnet. Har tyvärr ingen statistik på det.

Vilket är det dummaste lösenordet man kan välja?

Jonas Thambert:

Samma som användarnamnet anser jag.

Erik:

Är vi i Sverige för naiva när det gäller vad vi tror att vi kan vara hemliga med på nätet?

Jonas Thambert:

Nej det tycker jag inte. Dock så ska man ha klart för sig att vi lämnar en väldig massa spår efter oss när vi använder internet så man bör vara försiktig med vilken information man publicerar.

Jonas: Jag litar inte riktigt på SSL efter de certifikat-attacker som varit sista tiden. Finns det några alternativa lösningar som är på gång? t.ex. där jag inte behöver lite på bara en certifikatutfärdare.

Jonas Thambert:

Inte vad jag vet tyvärr. Tyvärr så har marknaden för certifikat-utfärdare vuxit allt för kraftigt vilket skapat en mängd problem.

Anders:

Hej hur ska polisen kunna utreda dataintrång och finna fysiska adresser och därmed gärningsmän om teleoperatörer inte sparar trafikdata?

Jonas Thambert:

Det är inte bara operatörerna som sparar trafik. Sidorna som hackats och diverse anonymitetstjänster sparar också loggar vilket är ett sätt att spåra på. Givetvis finns det fler. Operatörer hanterar väldigt stora trafikvolymer vilket också skulle generera oerhört stora loggfiler.

Elisabet:

Vad är det för människor som ägnar sig åt den typ av hackning som i det här senaste fallet – är det bara oseriösa ”busfrön” eller har de någon form av mer avancerad agenda?

Jonas Thambert:

Finns både och. De som gillar att testa säkerheten och leta hål, men även de som letar hål i syfte att sälja informationen vidare eller själva tjäna pengar på den. Idag är det lättare att tjäna pengar på stulen information än förr på grund av att vi använder internet till så mycket mer idag.

Gurra:

Kan vem som helst få fram lösenorden om man har hashkoderna?

Jonas Thambert:

Ja, i princip. Det finns olika sätt att hasha lösenord på. En del är väldigt mycket svårare att snabbt knäcka. I fallet bloggtoppen så var det en väldigt enkel metod att hasha lösenord på som användes.

Börje K:

Anser du att säkerhetsläget på nätet har förvärrats, eller har hackers och säkerhetsföretagen haft en jämn kapplöpning sedan internets begynnelse?

Jonas Thambert:

Nej det tycker jag inte. Dock så har antalet användare och servrar på internet ökat kraftigt på senare år vilket givit illsinnade personer en större massa att attackera. Från början var internet en väldigt plats.

Tore:

Hur ska man kolla om man finns med bland dem som fått något konto hackat? Finns det några listor man kan söka av?

Jonas Thambert:

Enklast är att försöka komma ihåg om man har haft konto på någon av de sidor som uppges blivit utsatta för intrång. Listan finns publicerad i diverse media.

LÄS OCKSÅ: ”Hackarna kan ha blivit hjältar”

LÄS OCKSÅ: Hackerattack mot tiotusentals konton

LÄS OCKSÅ: Frågor & svar: Så kan attacken ha gått till

Twingly Blogsearch

Fler kommentarer 0

Den kompletta morgontidningen – prova SvD 6 veckor för endast 99 kr.

Visa kommentarer

Välkommen att säga din mening på SvD.se. Våra regler är enkla: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. För att få kommentera på SvD.se måste du registrera ett konto med Disqus eller använda ett befintligt konto på Facebook, Google, Yahoo eller OpenID. Läs reglerna i sin helhet Vänliga hälsningar, Olle Zachrison, chef SvD Näringsliv