Allmänna rekomendationer för lösenordshantering


Bakgrund och syfte

Syftet med denna rekommendation är att öka medvetandet för hur lösenord bör hanteras i en modern kontext. 

Syftet med starka lösenord är att skydda dina konton och din information från obehöriga angripare. Det kan också hjälpa dig att skydda din organisation då konton kan användas för att nå andra resurser internt eller lura dina kollegor att klicka på länkar eller skicka med bilagor i ditt namn. Dessa rekommendationer är allmänt skrivna och just enbart rekommendationer och skrivna på ett lite mer lättsamt sätt, än hur en policy normalt är strukturerad.

Varför måste jag välja långa lösenord?

Tidigare fanns ofta tekniska begränsningar som tillät maximalt 8-tecken, därför kan det i äldre policydokument påtvingas byten så ofta som kvartalsvis (90-dagar). För att man som användare skall slippa byta lösenord ofta, så måste man istället nu välja ett bra och långt lösenord. Det som sätter den lokala organisationens faktiska krav är en avvägning för tid för attack och exponering av lösenord. 

Det finns olika sätt som angripare kan försöka knäcka lösenord. En vanlig attackmetod är så kallad brute-force, vilket innebär att angriparen testar olika kombinationer av bokstäver, siffror och symboler tills de hittar det rätta lösenordet. Detta kan ta lång tid, men kan underlättas om angriparen har tillgång till en lista över vanliga eller svaga lösenord. För att motverka denna typ av attack bör man välja ett lösenord som är långt (se nedan för olika tjänstetyper) och unikt (inte baserat på något ord eller namn). 

En annan attackmetod är så kallad hash-attack, vilket innebär att angriparen utnyttjar att många webbtjänster lagrar lösenord i en krypterad form som kallas hash. En hash är en sträng av tecken som genereras från ett lösenord med hjälp av en matematisk funktion. Det ska vara svårt att gå från en hash till ett lösenord, men det finns verktyg som kan jämföra hashar med förkodade lösenord och hitta matchningar. Detta medför att dåliga lösenord nu i det närmaste realtid knäckas av ett modernt grafikkort. För att motverka denna typ av attack bör man välja ett lösenord som är slumpmässigt (inte följer något mönster på tangentbordet eller baserat på ord) och varierat (innehåller både stora och små bokstäver, siffror och symboler). Vissa webbtjänster kan även lagra lösenorden i klartext vilket vid ett intrång kan utgöra en risk för andra webbtjänster om lösenord har återanvänds. Därför är det viktigt att inte återanvända lösenord.

Varför kan jag inte bara köra på en variant likt det jag hade tidigare?

I IT-säkerhetsbranschen skojas det ofta om att många väljer lösenord som Sommar2024 eller liknande, eftersom det följer en policy och vid en revision är det helt ok ur vad som är definierat i en policy. Det kan verka som att ett sådant lösenord uppfyller kraven på längd, variation och unikhet. Ett sådant lösenord är dock förutsägbart (baserat på årstid och år), vanligt (använt av många andra) och sårbart (kan ha läckt ut i tidigare dataintrång). Ett exempel på tjänst där man kan kontrollera om ens e-postadress har varit del av en större känd läcka är haveibeenpwned.com. Där kan man också se vilka lösenord som har läckt ut och hur ofta de har använts.



För ditt huvudsakliga konto i exempelvis windowsdatorer som är med i ett Active Directory (AD):

Använd istället lösenordsfraser. En lösenordsfras är en mening eller ett uttryck som du använder istället för en uppsättning tecken. En lösenordsfras är oftast lättare att komma ihåg än ett slumpmässigt lösenord, de kan också vara längre och mer komplexa. 

Till exempel kan du använda en fras som du kan minnas, som “Jag älskar att resa till Borås på vintern!” eller “Min favoritfilm är Ghostbusters!”. 

Du bör göra din lösenordsfras starkare genom att lägga till felstavningar, siffror, symboler eller stora bokstäver, som “Jag älskar att resa till Börås på vintern7” (42 tecken) eller “M!n favoritfilm är Ghoulbuster54”. (32 tecken)

Allt över 20 tecken är idag oerhört komplext för en bruteforce (kräver tusentals miljarder försök och tusentals datorer under tusentals dagar för en liten chans att lyckas knäcka) men kan vara relativt enkelt kommas ihåg som en minnesramsa enligt exemplen ovan. 


För webplatser:

Välj ett långt och unikt lösenord för varje webbplats eller konto. Ett starkt lösenord är minst 12 tecken långt, men helst 14 eller mer.

Om det finns begränsningar att inte använda långa lösenord. Använd en blandning av stora och små bokstäver, siffror och symboler. 

Om du använder många olika webbtjänster och inte enbart din inloggade dator för att nå tjänster du behöver för att utföra ditt jobb rekommenderas en lösenordshanterare som kan skapa och komma ihåg starka, unika och slumpmässiga lösenord åt dig. Det gör det enklare att hantera flera lösenord och fylla i dem automatiskt när du behöver dem. Det är inte rekommenderat att spara lösenord i webläsaren. Detta då ett stort antal malware (skadlig kod) relativt enkelt kan kopiera ut informationen i läsbart skick. 


Jag orkar inte allt detta…

Välj då ett bra lösenord för ditt huvudkonto/mailkonto, samt aktivera någon form av MFA och tryck på “reset my password” och skriv in något helt slumpartat på de tjänster som inte går att nå via federerad inloggning som den akademiska sektorn i allt större grad använder. Fungerar inte Single-Sign-On eller federerad inloggning, registrera ett förbättringsförslag hos din lokala tjänsteförvaltare. Det är inte för att krångla vi måste skydda oss och varandras resurser.  Du är dina kollegors arbetsmiljö och it-säkerhetsaspekter är en del av detta.


Andra tips:

Byt omedelbart lösenord på de konton som du misstänker kan ha blivit utsatta för intrång. 

Aktivera flerfaktorsautentisering (MFA) där det är möjligt. MFA kräver mer än en typ av uppgift för att logga in på ett konto - till exempel både ett lösenord och en engångskod som genereras av en app. Det ger ett extra skydd om någon gissar eller stjäl ditt lösenord. Lösningar som baseras på SMS är inte rekommenderat men ger ändå ett lager av skydd för normala användningsfall.


Jag vill veta mer om ämnet:

Sök på ord som salt, crypt, hash, rainbow table, entropy, MFA, SSO, OTP

  • No labels