Skärmdump av William Petzälls twitterkonto, som uppges ha blivit kapat.
Vad är en lösenordshash?
Teckenkombinationerna som publicerats via William Petzälls twitterkonto är så kallade hashsummor, eller lösenordshashar. De kan enklast förklaras som krypterade textsträngar av lösenord. För att skydda e-post vid intrång så brukar företag sällan ha ett dokument med alla lösenorden till e-postkonton. I stället finns användarnas lösenord endast i krypterad form, alltså de så kallade lösenordshasharna.
Hur kan någon ha fått tag på hasharna?
Någon kan ha lyckats bryta sig in i kvällstidningarnas IT-system och laddat hem de databaser där lösenordshasharnna finns sparade. En annan möjlighet är att vissa journalister registrerat sig på sajter med sämre säkerhet, till exempel forum, och använt samma lösenord som jobbmejlen. De sajterna kan sedan ha hackats och användarinformationen stulits. Det kan också vara så att de enskilda personernas e-postkonton på olika sätt knäckts, och att en lösenordshash skapats utifrån det riktiga lösenordet av den som publicerat dem.
Hur får man fram lösenordet ur hashsummorna?
Det finns olika sätt att få ut lösenordet ur hashsumman, dels beroende på vilken krypteringsmetod som används, dels hur svårt lösenordet är. Olika möjligheter är att helt enkelt googla på koden och se om man får någon träff. Annars är det möjligt att använda speciella verktyg på nätet. Läs mer under frågan ”Kan man skydda sig”.
Hur kan en hackare ha kommit åt William Petzälls Twitterkonto?
Att komma åt en enskild persons lösenord behöver inte vara svårt. Petzäll kan ha ett väldigt enkelt lösenord som någon provat sig fram till, hans dator kan ha varit utsatt för illasinnade program som läser av tangentbordstryckningar, han kan ha varit utsatt för så kallad ”phishing”, lösenordsfiske eller så har han loggat in via ett trådlöst nätverk som inte varit krypterat som någon kan ha läst av. Det är också möjligt att hans mobiltelefon eller dator stulits, och att hans lösenord till Twitter där är autoifyllt.
Kan man skydda sig?
Att ens lösenordshash sprids på nätet är så klart inte bra. Men det behöver inte betyda att själva lösenordet knäcks. Som vanligt när det gäller IT-säkerhet gäller det att lösenordet är så svårt som möjligt. Förenklat kan man säga att varje tänkbart lösenord måste testas mot hashen för att se om de matchar, varje sådan sökning tar en viss tid. För att snabba upp den processen finns verktyg där till exempel ordlistor jämförs med hashen. Mer avancerade verktyg kombinerar vanliga ord, smeknamn och liknande med sifferkombinationer. Att ha ”hemlig123” tar alltså inte särskilt lång tid att knäcka. Att byta ut bokstaven O mot en nolla eller s mot $ är också vanligt sätt att försöka försvåra sitt lösenord, men som de här verktygen har koll på. Men ett långt lösenord, med både siffror, tecken, små och stora bokstäver som inte bygger på ord eller smeknamn, tar längre tid eftersom roboten måste testa varje kombination mot hashen och kombinationsmöjligheterna blir otroligt många. Det kan ta många år innan ett sådant lösenord knäcks.
