Anders Thoresson

lösenord

Tyvärr, bra lösenord räcker inte – slå på tvåfaktorsinlogg

Publicerad

Säkerhetshål i röstassistenterna från Google och Amazon gör det möjligt att lura av användare bland annat inloggningsuppgifter. Säkerhetshålen är givetvis intressanta i sig, men det finns också en generell lärdom kopplad till problemen: Bra lösenord är inte tillräckligt för att skydda våra konton på nätet.

Forskare vid tyska Security Research Labs har upptäckt buggen som gör det möjligt att låta en Alexa eller Google Home fortsätta lyssna på det som sägs, även när användaren tror att den smarta högtalaren är i viloläge. I Youtube-filmerna som demonstrerar problemet visar forskarna både hur en användare kan luras att lämna i från sig sina inloggningsuppgifter eller hur högtalaren tjuvlyssnar och skriver ner det som sägs i rummet.

När nätjättarna nu jobbar stenhård på att göra röst och ljud till det nya gränssnittet för teknik är det givetvis viktigt att den här typen av säkerhetshål inte finns i prylarna som sätts ut på arbetsplatser och i hem.

Men för den enskilda användaren är demonstrationen där den fiktiva användaren luras att säga sitt lösenord också en generell påminnelse: Bra lösenord är inte tillräckligt för att skydda våra konton på nätet.

Vi är vana vid att ständigt höra råd om eller till och med skarpa instruktioner för våra lösenord ska se ut. Unika för varje tjänst, långa, med stora och små bokstäver, siffror och specialtecken är ofta det vanligaste rådet. Med på senare år har många säkerhetsexperter slutat prata om lösenord för att istället använda begreppet lösenfraser. För mig, uppväxt i Grebbstad, som gillar IFK Göteborg, att åka skidor och att äta glass, är grebbestadskidorblåvittglass lättare att komma ihåg än jljvlids!!!dsr+2##.

Problemet är bara att situationerna där lösenordet verkligen spelar roll är relativt få, så länge det inte faller inom ramen för de allra sämsta lösenorden. Det vill säga är något av de mest använda lösenorden eller ett lösenord som är uppenbart för någon som känner dig att testa (tänk namn på barn eller husdjur). Så länge du undersöker de fallgroparna är skillnaderna mellan olika lösenord förhållandevis små.För att förstå varför är det här blogginlägget från en av Microsofts säkerhetsexperter bra läsning. Sammanfattningsvis finns det många olika typer av intrångsförsök som inte är beroende av hur bra lösenord man valt. Här nöjer jag mig med att nämna två av dem.

Det första är det som kallas för nätfiske, den svenska översättningen av engelskans phishing. Det här är ett samlingsnamn för intrång som börjar med att måltavlan luras att lämna i från sig sitt lösenord, precis som de tyska forskarna demonstrerar med de smarta högtalarna. Men i praktiken handlar det än så länge om mindre spektakulära grejer. Som ett meddelande från banken, om ett säkerhetsproblem. Eller från Facebook, Instagram eller någon annan tjänst på nätet. Mailet som gör dig uppmärksam på problemet innehåller en länk till en webbsida där du uppmanas mata in användarnamn och lösenord.

Haken är att det givetvis inte är bankens webbplats eller Facebooks inloggningsformulär du ser på skärmen, utan en i det närmaste exakta kopia. En titt i webbläsarens adressfält avslöjar ofta att det är fejk, adressen som står där som slutar inte på swedbank.se utan något annat. Lägger du inte märke till det och faller för bluffen spelar det ingen roll om ditt lösenord är ett tusen tecken långt, du har ändå frivilligt skickat det direkt till bedragaren som vill ta sig in i ditt konto.

Ett annat sätt att komma över dina lösenord (och kreditkortsnummer och annat som är värdefullt för andra att komma över) är genom att lyckas installera ett spionprogram som avlyssnar det du skriver. Lyckas någon med den manöver spelar det inte heller någon roll hur långt, svårt, unikt lösenordet är. Kontokaparen får det skickat till sig också i det här fallet.

Det finns en lösning på det här. Den är inte smidig, men inte heller så bökig att det finns anledning att avstå. Den kallas för engångskoder, tvåstegsinlogg, på engelska ofta two factor authentication, förkortat 2FA.

Även om du inte känner igen begreppen vågar jag nästa lova att du redan kan handgreppen. För att betala räkningar eller överföra pengar i nätbanken räcker det inte med ett lösenord. De transaktionerna måste bekräftas på ytterligare något sätt. I min bank med en dosa som genererar kombinationer med åtta siffror, till exempel.

Engångskoder för inloggningar fungerar på samma sätt. Med den funktionen aktiverad räcker det inte med användarnamn och lösenord för att logga in, det krävs också en kompletterande kod. Den kan skickas via sms, skapas i en app eller en usb-sticka som ansluts i datorn. Men oavsett hur det sker är grundprincipen den samma: Även om du gått på en bluff och skickat ditt tusen tecken långa lösenord till en hackare någonstans i världen är ditt konto ändå inte i riskzonen, eftersom det bara är du som har prylen som kan skapa den kompletterande engångskoden.

Engångskoder går med största sannolikhet att slå på för väldigt många av dina konton. Facebook, Google, Microsoft, Instagram, Snapchat, Dropbox har det, och många, många fler. På Two Factor Auth finns en lista med tjänster där engångskod finns som säkerhetstillval.

Som sagt, det här gör inloggningsprocessen lite bökigare. Men så väldigt ofta loggar du ändå inte in på ditt Facebook-konto. Att behöva hämta upp en sexsiffrig kod i en app när du gör det är trots allt en relativt liten ansträngning i relation till det extra skydd det faktiskt innebär.

Här finns ytterligare en detalj om sunt förnuft: Engångskoder är alltid kopplade till ett specifikt konto. Om det kommer ett chattmeddelande från en kompis som behöver ”låna” engångskoder eftersom hens bankdosa gått sönder, som i den film Swedbank gjort för att utbilda sina kunder om det som kallas för Facebook-bedrägerier, är det ett uppenbart bedrägeriförsök. Dina engångskoder kan bara låsa upp ditt konto, ingen annans!

En sista uppmaning bara: Om du slår på engångskoder (vilket, om det inte framgått, jag verkligen tycker att du ska göra), läs också på om hur de fungerar hos just de tjänster du använder. Eftersom det inte längre räcker med lösenord blir konsekvensen att du kommer att låsa dig själv ute om du förlorar möjligheten att skapa eller ta emot engångskoden. Alla tjänster har funktioner och lösningar som minimerar risken för att det ska inträffa, men de kräver att man läser på innan!

De båda exempel jag använder ovan, med nätfiske och spionprogram, är för övrigt i sig ett bra argument för att säkra upp alla konton på sociala medier med hjälp av engångskoder. Informationsfilmen från Swedbank illustrerar varför: Om en vilt främmande person skickar en länk och ber dig installera ett program på din dator blir du förhoppningsvis misstänksam och låter bli. Men vad svarar du om en vän skickar ett meddelande på Facebook och tipsar om ett riktigt roligt spel? Intresset för att kapa konton i sociala medier handlar ofta om just det här. Det är inte innehållet i det kapade kontot som är intressant, utan den kapade personens vänner. En bedragare som kapar mitt konto kan skicka meddelanden till mina vänner som Anders Thoresson, och därmed öka sannolikheten för att vännerna faller för bedrägeriet och installerar det där spionprogrammet eller swishar pengarna jag/bedragaren ber om att få låna.

Det är inte bara bilderna och statusuppdateringarna vi har i sociala medier som är värdefulla. Listan med vänner är väldigt intressant att få tillgång till. Genom att aktivera engångskoder på alla de konton där du är dig själv och har dina vänner skyddar du också vännerna.

Fem råd för en tryggare nätvardag

Publicerad

Engångskoder, uppdaterade prylar och färska säkerhetskopior. Lite sunt förnuft och kryptering på det. Fem viktiga vardagsråd om man vill känna sig lite tryggare i digitala (det vill säga alla) sammanhang.

Frågan som kom efter texten om säkerhetsproblem vi vanliga användare inte behöver bry oss borde egentligen fått sitt svar redan där och då: ”Vilka är vardagsråden som ger bra skydd mot vardagsproblemen?”

Svaret kommer här istället.

Det handlar framför allt om fem saker som du, jag och alla andra som har några som helst beröringspunkter med internet och digitala prylar behöver tänka på: Bra rutiner för inloggning till alla våra konton kryddat med lite sunt förnuft, att prylarna vi använder är uppdaterade och att det finns färska säkerhetskopior av det som är viktigt för oss. Bonustipset handlar om appar som gör det enkelt att chatta krypterat.

Med koll på de här grejerna kommer du upp på en nivå som inte gör det trivialt att hacka dina konton eller förstöra för dig på andra sätt, oavsett om man är en snokande kollega eller en nätbrottsling som inte vet vem du är utan bara är på jakt efter konton att kapa.

Vi tar dem i tur och ordning.

Bra rutiner för inloggning (och det sunda förnuftet)

Att inloggningsuppgifterna till bankkontot är värdefulla behöver jag inte berätta för dig. Men det finns många andra inloggningsuppgifter som andra också kan vara intresserade av att komma över. Kanske för att snoka i dina privata meddelanden på Facebook och Instagram, kanske för att posta något pinsamt som får dig att skämmas. Men kanske mer troligt för att använda ditt kapade konto i ett bedrägeri som vänder sig mot dina vänner.

Den som kapar mitt Facebookkonto kan låtsas vara Anders Thoresson i relation till alla mina vänner på plattformen. Och det är betydligt enklare att lura någon att göra något dumt om offret i fråga tror att hen gör en kompis en tjänst än om ropet på hjälp kommer från en vilt främmande person på nätet.

Det är det här som fått namnet Facebook-bedrägeri, men det förekommer på alla plattformar där vi agerar som oss själva och har direktkommunikation med våra vänner. Frågan som kommer i en privat chatt kan handla om ett snabbt lån via Swish eller, som i Swedbanks varningsfilm, om hjälp med engångskoder till bankkontot.

Det första du behöver förstå är alltså att dina inloggningsuppgifter är attraktiva för andra att komma över, även om du själv inte tycker att du har något som är värt att skydda på Instagram, Snapchat eller vilka tjänster det nu är du använder.

Nästa steg är att se till att inloggningsuppgifterna är bra. Vad som kännetecknar ett bra lösenord har upprepats oändligt många gånger, men det tål att påminnas om det igen:

  • Någorlunda långa, gärna åtta tecken eller mer.
  • Inte ord som är lätta för någon du känner att gissa.
  • Inte något av de lösenord som finns med på listorna över de mest använda.

Målsättningen är att se till att ha lösenord som är så svåra som möjligt för andra att gissa eller prova sig fram till. Ett bra sätt att leva upp till de kraven är att använda en lösenordshanterare, ett program som fungerar som ett digitalt kassaskåp. Där låser du in alla dina lösenord och behöver bara komma ihåg det enda som krävs för att låsa upp det. Eftersom de flesta lösenordshanterare kan synkronisera innehållet mellan dator och mobiltelefon är det dessutom ett bättre alternativ än post-it-lapparna på datorskärmen av ytterligare en anledning: Du kommer alltid ha lösenorden med dig.

Det finns många lösenordshanterare att välja bland. Mitt råd är att inte använda en som just dykt upp på marknaden, utan en som varit med ett tag. Det är trots allt ett program som du ska anförtro känsliga uppgifter, och då är det rimligt att välja ett som bevisat sig över tid. Själv använder jag 1Password, men har hört gott om program som Lastpass och Dashlane också.

Nu kommer vi till det jobbiga (som om det inte redan var jobbigt nog): Bra lösenord räcker inte.

För att förstå varför är det här blogginlägget från en av Microsofts säkerhetsexperter bra läsning. Sammanfattningsvis finns det väldigt många intrångsförsök till nätkonton som inte är beroende av hur bra lösenord man valt. Jag nöjer mig att nämna ett av dem här.

Nätfiske, den svenska översättningen av engelskans phishing, är ett samlingsnamn för intrång som börjar med att måltavlan luras att lämna i från sig sitt lösenord. Det kan vara ett meddelande från banken, om ett säkerhetsproblem. Eller från Facebook, Instagram eller någon annan tjänst på nätet. Mailet som gör dig uppmärksam på problemet innehåller en länk till en webbsida där du uppmanas mata in användarnamn och lösenord.

Problemet är att det inte är bankens webbplats eller Facebooks inloggningsformulär du ser på skärmen, utan en kopia. En titt i webbläsarens adressfält avslöjar ofta att det är fejk, men annars ser allt trovärdigt ut. Faller du för bluffen spelar det ingen roll om ditt lösenord är ett tusen tecken långt, du har ändå frivilligt skickat det direkt till bedragaren som vill ta sig in i ditt konto.

Det finns en lösning på det här problemet. Den är inte smidig, men inte heller så bökig att det finns anledning att avstå. Den kallas för engångskoder, tvåstegsinlogg, på engelska ofta two factor authentication, förkortat 2FA.

Även om du inte känner igen begreppen vågar jag nästa lova att du redan kan handgreppen. För att betala räkningar eller överföra pengar i nätbanken räcker det inte med ett lösenord. De transaktionerna måste bekräftas på ytterligare något sätt. I min bank med en dosa som genererar kombinationer med åtta siffror, till exempel.

Engångskoder för inloggningar fungerar på samma sätt. Med den funktionen aktiverad räcker det inte med användarnamn och lösenord för att logga in, det krävs också en kompletterande kod. Den kan skickas via sms, skapas i en app eller en usb-sticka som ansluts i datorn. Men oavsett hur det sker är grundprincipen den samma: Även om du gått på en bluff och skickat ditt tusen tecken långa lösenord till en hackare någonstans i världen är ditt konto ändå inte i riskzonen, eftersom det bara är du som har prylen som kan skapa den kompletterande engångskoden.

Engångskoder går med största sannolikhet att slå på för väldigt många av dina konton. Facebook, Google, Microsoft, Instagram, Snapchat, Dropbox har det, och många, många fler. På Two Factor Auth finns en lista med tjänster där engångskod finns som säkerhetstillval.

Som sagt, det här gör inloggningsprocessen lite bökigare. Men så väldigt ofta loggar du ändå inte in på ditt Facebook-konto. Att behöva hämta upp en sexsiffrig kod i en app när du gör det är trots allt en relativt liten ansträngning i relation till det extra skydd det faktiskt innebär.

Här finns ytterligare en detalj om sunt förnuft: Engångskoder är alltid kopplade till ett specifikt konto. Om det kommer ett chattmeddelande från en kompis som behöver ”låna” engångskoder eftersom hens bankdosa gått sönder, som i Swedbanks film, är det ett uppenbart bedrägeriförsök. Dina engångskoder kan bara låsa upp ditt konto, ingen annans!

En sista uppmaning bara, innan vi går vidare. Om du slår på engångskoder (vilket, om det inte framgått, jag verkligen tycker att du ska göra), läs också på om hur de fungerar hos just de tjänster du använder. Eftersom det inte längre räcker med lösenord blir konsekvensen att du kommer att låsa dig själv ute om du förlorar möjligheten att skapa eller ta emot engångskoden. Alla tjänster har funktioner och lösningar som minimerar risken för att det ska inträffa, men de kräver att man läser på innan!

Uppdaterade prylar

När det dyker upp notifieringar och informationsrutor om att det finns uppdateringar till dina prylar, oavsett om det är själva operativsystemet eller till de appar och program du använder – installera dem. Så snart som möjligt.

Många gånger är det uppdateringar som innehåller nya finesser och funktioner. De är inte intressanta i det här sammanhanget. Det vi bryr oss om är istället att uppdateringarna också, nästan alltid, täpper till säkerhetshål som nätkriminella kan utnyttja för att ta sig in i dina prylar eller ställa till oreda på andra sätt.

Att installera uppdateringar är att stänga fönster som står på glänt. Gör det.

Färska säkerhetskopior

I mobiler, datorer och hos nättjänster har vi massor av dokument, bilder och annat digitalt innehåll vi bryr oss om. Som kanske till och med går att kalla för värdefullt.

Se till att ha färska säkerhetskopior av allt som faller in under den beskrivningen.

En säkerhetskopia är ett skydd mot en stulen mobiltelefon, en kraschad hårddisk eller ett utpressningsvirus som krypterar allt innehåll på hårddisken och kräver en lösensumma för att återställa allt i ursprungligt skick.

För att säkerhetskopior ska vara något värda måste de vara färska. Kommer man inte ihåg eller orkar göra backupen finns ändå risken att månader av dokument och bilder försvinner den dagen olyckan är framme.

Lösningen är att komma bort från ”orka” och ”komma ihåg” genom att se till att säkerhetskopiorna sker automatiskt. Det innebär i praktiken att du väljer en molntjänst för dina säkerhetskopior, eftersom en extern hårddisk kräver att du orkar och kommer ihåg att koppla in den. Med en molntjänst sker säkerhetskopierandet automatiskt, och dessutom hamnar dina kopior på en annan fysisk plats än originalet. Det ger skydd mot stöld och brand.

Tjänster om Apples iCloud och Google Photos kan kännas som säkerhetskopior, men är egentligen inte det. De är tjänster som flyttar bilder mellan olika prylar. Men en bild som av misstag raderas på ett ställe kommer att raderas på de andra också. Bättre då att använda speciella backuptjänster. Vad som är bra varierar över tid, så sök på ”säkerhetskopia molnet” och läs färska recensioner om vad som är bra och prisvärt för tillfället. Backblaze, Carbonite och Crashplan är namn som ofta återkommer.

Kryptoappar

I debatten om kryptering påstås ofta att den som inte har något att dölja inte heller har något behov av kryptering. Rent mjöl i påsen-argumentet. Men det är ett resonemang som förs fram i relationen medborgare-stat. Vi använder internet till all möjlig vardagskommunikation, och även om där inte skrivs olagligheter finns det sånt man inte vill sprida vind för våg.

Saker du kan tänka dig att ställa dig på torget och skrika ut behöver inte kryptering. Det gör däremot sånt som du bara pratar om med några få utvalda personer bakom stängda dörrar.

E-post är ett exempel på kommunikationsverktyg som är mer ”torg” än ”stängd dörr”. Det finns inget som hindrar en uttråkad nätverkstekniker att fördriva några minuter med att läsa e-post som skickas på arbetsplatsen.

Att kryptera var länge bökigt. För e-post var rekommendationen PGP, men där är risken för misstag stor. Idag finns appar som Wire och Signal som gör det lika enkelt att chatta som i vilket annat chattfönster som helst. Till och med mer vardagliga lösningar som WhatsApp och Apples iMessage är krypterade.

Några invändningar eller kompletteringar?

Så. Det var vardagsråden jag hade i huvudet när jag skrev förra inlägget. Men det här är komplext. Saker och ting förändras snabbt. Därför är jag nyfiken på om du som läser har något att invända mot mina råd, eller tycker att de behöver kompletteras med ytterligare några. Lämna i så fall gärna en kommentar!

Foto: Mikayla Mallek.

Har ditt lösenord läckt?

Publicerad

Engångskoder är ett sätt att minimera problemen med läckta lösenord. Aktivera den funktionen där det går!

SVT:s program Dold får idag stor uppmärksamhet. Redaktionen har byggt en tjänst där du kan ta reda på om dina lösenord är på drift.

Genom åren har flera stora sajter runt om på internet drabbats av intrång där användardatabasen hamnat på drift. Och med den användarnas e-postadresser – och (kanske) lösenord.

Jag skriver “kanske”. Ibland har lösenorden varit i klartext, det vill säga begripliga för en människa. Ibland har de varit hashade, en slags kryptering. Men de hashfunktioner som använts har inte alltid varit de bästa. I praktiken är en dålig hashfunktion samma sak som klartext.

Dold har byggt en databas med e-postadresser som finns med i en del av de här läckorna. Matar du in din e-postadress får du reda på om den funnits med i några av läckorna, vilket i så fall också innebär att lösenordet som du använde på den aktuella sajten har hamnat i felaktiga händer.

Att använda tjänsten är riskfritt. Din mailadress är ju ingen hemlighet, och därför är det ingen direkt fara att knappa in den i formulär på webben. Det värsta som kan hända är att du drabbas av mer spam.

Men om din mailadress är med i sökningen, då finns det anledning att agera! Byt åtminstone på den drabbade sajten. Och om du använt samma lösenord på fler sajter, byt där också.

Använd orginalet – få en varning vid nästa läcka

Dolds tjänst är en svensk variant av haveibeenpwnd, utvecklad av säkerhetsexperten Troy Hunt. Jämfört med Dold har Hunts tjänst åtminstone två fördelar.

För det första innehåller den fler läckor. När jag söker på min e-postadress hos Dold får jag reda på att den funnits med i tre läckor. Hos Troy Hunt är siffran den dubbla. Genom att använda haveibeenpwnd får du alltså en bättre bild av när dina lösenord faktiskt har läckt.

Haveibeenpwnd har dessutom en notifieringsfunktion. Den låter dig prenumerera på varningar. Så snart en ny läcka sker – och det kommer att hända – där din e-postadress finns med – också högst troligt – kommer du få ett mail om det.

Hur minimera skadan av läckta lösenord?

Att lösenord kommer att fortsätta läcka innebär att du måste fundera på hur du ska minska konsekvenserna när det uppstår. Och det finns några saker du kan och bör göra:

  1. Återanvänd inte lösenord. Samma lösenord ska inte användas på mer än en webbplats. Om du inte orkar leva upp till det rådet, se åtminstone till att dina viktigaste konton är skyddade av unika lösenord. Allra viktigast är e-posten, eftersom det är dit nya lösenord skickas när du eller någon annan beställer ett nytt lösenord.
  2. Aktivera engångskoder. De flesta stora webbplatser, som Dropbox, Google, Facebook och så vidare, har i dag en funktion som ser till att det inte räcker med ett lösenord för att logga in. Du måste också mata in en engångskod, som antingen skickas som sms till din telefon eller skapas med en app i den. Absolut, det blir bökigare för dig när du ska logga in. Men för en obehörig som har ditt lösenord tar det stopp helt och hållet.
  3. Börja använda en lösenordshanterare, ett digitalt kassaskåp där du låser in dina lösenord och andra uppgifter. Det gör att du inte behöver komma ihåg alla unika lösenord, och det innebär dessutom att det blir lättare att leva upp till råden om väldigt långa lösenord. Själv är jag nöjd med 1password.

Läs och lyssna mer om lösenord

Om lösenord har jag skrivit och pratat om en hel del tidigare. Några länktips:

Vad jag använder: 1password

Publicerad

För att kunna följa råden om långa och unika lösenord krävs hjälpmedel: Ett program för att hantera alla långa och unika lösenord. En lösenordshanterare.

Det finns många att välja på. Jag har valt 1password. En anledning är att det är ett program användarna köper, istället för en tjänst de betalar för månad för månad. Normalt sett har jag inga problem med tjänster, men lösenord är ett av de tillfällen då jag vill ha extra kontroll över hur de hanteras. Med program jag köpt spelar det ingen roll vad som händer med företaget som utvecklar 1password, Agilebits. Programmen i dator och mobiltelefon kommer fortsätta att fungera ändå.

Det innebär också att jag inte måste lita på 1passwords molntjänst för att synka lösenord mellan mina prylar. Istället kan jag själv avgöra om jag litar mest på Dropbox, iCloud eller om jag bara vill synka via mitt eget trådlösa nätverk för att på så sätt hålla (den krypterade) databasen med mina lösenord borta från alla molntjänster.

1password har dessutom funnits länge. Det innebär inte att då och då dyker upp frågetecken kring säkerheten, för det händer. Men det innebär att Agilebits har många användare och ett rykte att leva upp till. Jag tror att det spelar roll i sådana här sammanhang och är en av anledningarna till att jag brukar avråda från att använda program som på olika sätt ska stärka säkerheten om företaget bakom dem är helt nytt.

Men det 1password har också flera funktioner som faktiskt gör det enkelt följa lösenordsråden. Här finns de en kan förvänta sig. Som hjälp att skapa nya, starka lösenord och plugins till de vanligaste webbläsarna, så att det är lätt att mata in lösenorden på webben. Och synk med mobiltelefon och dator.

Men också andra saker. Som varningar när tjänster du använder haft säkerhetsproblem och det därmed kan finnas anledning att byta lösenord. Funktioner för att hitta lösenord du använder på många olika tjänster. Möjlighet att dela lösenordsdatabas med andra familjemedlemmar. Möjlighet att spara annat än lösenord, som portkoder, kontokortsnummer och annat som också är lika viktigt hålla koll på. Kör man iPhone finns det en växande skara appar som har direkt stöd för 1password.

Det här är ett inlägg i årets upplaga av #blogg100. Utmaningen handlar om att skriva ett blogginlägg varje dag under 100 dagar i sträck, med start den första mars. Jag är med för första gången och har bestämt mig för att skriva 100 inlägg som hjälper dig att använda din dator på ett smartare sätt, för att bli mindre stressad och mer effektiv.

För att inte missa något av det jag skriver kan du prenumerera på mejllistan här nedan. Eller lägga till min webbplats i din RSS-läsare.

Länkar till alla mina tips hittar du här.

[et_bloom_inline optin_id=optin_9]

Ge dina lösenord lite omtanke

Publicerad

Ska du göra bankärenden räcker det inte med ett vanligt lösenord. Du behöver också mata in en engångskod från bankdosan eller på annat sätt komplettera ditt lösenord. Anledningen är att användarnamn och lösenord lätt kan komma på drift, men att det är svårare för någon att dessutom komma över din bankdosa.

Tekniken har fått namnet tvåfaktorsautentisering, ofta förkortat 2FA. Lösenordet är ena ”faktorn”, enkgångskoden från bankdosan den andra.

I takt med att vi använder molnet till att lagra allt mer känsliga uppgifter har flera av nätjättarna gjort tvåfaktorsautentisering tillgänglig för sina användare. Det extra skyddet går bland annat att aktivera hos företag som Facebook, Google, Microsoft, Dropbox och Twitter.

Det exakta utförandet skiljer sig åt mellan de olika tjänsterna men grundprincipen är densamma. Det är användarens mobiltelefon som fungerar som faktor nummer två.

Hos Google installeras en app, Google Authenticator, som löpande genererar nya engångskoder. Eftersom appen bygger på en standard för att räkna fram engångskoder kan också andra tjänster utnyttja den. Det finns till exempel svenska webbhotell som skyddar kundernas administrationsverktyg på det sättet. Andra tjänster har valt att utveckla egna appar eller att använda sms för att skicka ut engångskoderna.

Tappa inte bort reservkoderna

Men en sak är viktig att vara uppmärksam på: Med engångskoder finns också en liten risk att du låser dig själv ute från dina konton på nätet. Blir du av med mobiltelefonen där du installerat kodappen eller byter telefonnummer gäller det att du tänker på att ändra inställningarna för engångskoder omgående, från en webbläsare i en dator där du fortfarande är inloggad.

Men det finns ett skyddsnät till. De reservkoder som går att ladda ner från dina konton, tänkta att användas just i situationer som de här.

Reservkoderna är en uppsättning engångskoder som skapas i förväg. Tanken är alltså att de ska laddas ner och sparas på ett säkert ställe, och dessutom på en plats där du kommer ihåg att du har dem. Om du i framtiden förlorar möjligheten att skapa en ny engångskod med hjälp av mobilen är de sparade engångskoderna då din väg in till dina konton.

Och, för att vara övertydlig, observera att du måste ladda ner en uppsättning reservkoder för varje tjänst där du aktiverar tvåfaktorsinloggning. De koder du hämtar från Facebook kommer inte fungera hos Google, de du hämtar hos Dropbox inte hos Microsoft och så vidare. För varje tjänst där du aktiverar tvåfaktorsinloggning behöver du alltså spara ner en uppsättning engångskoder!

Lösenord ska vara långa och unika

Tvyvärr är listan över tjänster som stöder tvåfaktorsautentisering fortfarande kort. För alla andra tjänster är råden om lösenord extra viktiga att följa: Välj långa lösenord och återanvänd dem inte på flera ställen.

Lösningen på de råden, som i pratiken är ”använd många och svåra”, är att skaffa ett program där lösenorden får ligga inlåsta. I det virtuella kassaskåpet förvarar du de långa och unika lösenorden till alla dina användarkonton. Men för att komma åt dem måste du först låsa upp kassaskåpet. Det skyddas av ett långt och unikt lösenord – men det är det enda du behöver komma ihåg. När kassaskåpet väl är öppnat kan du kopiera det lösenord du behöver. Många av programmen gör det till och med ännu enklare. Med en knapp som du lägger till i webbläsaren kan du logga in med ett klick.

1Password är ett alternativ för den som vill styra upp lösenorden. Programmet kan till exempel se till att du alltid har dina lösenord tillgängliga, oavsett om du sitter vid datorn eller är på språng med mobilen.

Ett bra lösenord

  • Ett bra lösenord är långt och används bara på ett ställe.
  • För att ett långt lösenord ska vara enklare att komma ihåg går det att kombinera tre, fyra ord som inte har något med varandra att göra.
  • Använd gärna några specialtecken för att försvåra för den som använder ett datorprogram för att försöka knäcka lösenord.