Att välja ett starkt lösenord som du tillförlitligt kan komma ihåg kan vara jobbigt. Det finns många fält för att skapa lösenord som har sina egna krav – måste bestå av sju bokstäver, måste innehålla en siffra och så vidare. Att följa dessa instruktioner garanterar inte ett säkert lösenord – inte alls. Det finns dock några regler att följa och tips om hur du ser till att du har bästa möjliga lösenord... samtidigt som du kan komma ihåg det.
Den första regeln för att testa ett lösenords styrka är att vara extremt försiktig när du använder onlineverktyg för att testa dina lösenord. Webbplatser eller nedladdningsbar programvara kan ta lösenordet som du försöker testa och lägga till det i en ordlista. En ordlista är en lista över kända och allmänt vanliga lösenord. Ordlistor kan uppgå till miljontals poster och används av hackare för att göra utbildade gissningar på lösenord snarare än den långsammare metoden att prova alla möjliga kombinationer med början från "aaaaaa".
Med andra ord, en ordlista behåller lösenord som "Susie1202" och "Password12". Hackare kommer att köra lösenordslistan på webbplatser i hopp om att få en matchning. Det är viktigt att ha ett lösenord som inte finns på någon sådan lista. Dessa ordlistor är förvånansvärt effektiva, eftersom många människor använder generiska eller vanliga lösenord. Tack och lov är du inte ensam – det finns några verktyg som hjälper dig: Lösenordssäkerhetskontroller.
Dessa pjäser drivs i allmänhet av pålitliga cybersäkerhetsföretag. Var dock alltid försiktig när du använder den här typen av verktyg – det finns alltid en viss risk. Du bör inte bara lita på vilken webbplats eller program som helst för att mäta styrkan på dina lösenord utan att vara helt säker på att det är säkert – faktiskt, även vissa cybersäkerhetsföretag som själva erbjuder dessa verktyg rekommenderar att du inte använder dina riktiga lösenord, och bara testar potential, eller liknande lösenord med sina verktyg – för säkerhets skull.
Så hur ska du veta hur starkt ditt lösenord är utan att använda en webbplats eller app för att kontrollera det?
Svaret är förvånansvärt enkelt: genom att lära dig mer om vad som gör ett lösenord säkert och designa ett därefter.
Typer av attacker
När man försöker designa ett säkert lösenord hjälper det att förstå hur hackare försöker attackera. Det finns två huvudtyper av attack; brute force och ordbok.
Brute force attacker prövar alla möjliga kombinationer av karaktärer. Med tillräckligt med tid skulle denna metod så småningom knäcka alla möjliga lösenord. Den största nackdelen med denna attacktyp är att det tar tid, och ju fler kombinationer som ska testas, desto mer tid tar det. Den tid som krävs kan vara astronomisk – även om ett program kan köra tiotusentals möjligheter per minut, finns det miljontals kombinationer möjliga, vilket gör dessa attacker ineffektiva. Det är mycket osannolikt att långa lösenord knäcks med den här metoden, eftersom att köra alla möjligheter och därmed hitta dem kan ta decennier.
Ordboksattacker använder de tidigare nämnda ordlistorna för att göra välgrundade gissningar om vad lösenord kan vara. Denna teknik minskar dramatiskt antalet gissningar som ska göras jämfört med brute force-attacker, vilket påskyndar processen med en enorm marginal. Ordlistor är i allmänhet baserade på kända läckta lösenord. Programvara utformad för att utföra den här typen av attacker kan också innehålla "ordmangling"-regler som kan ändra orden för att också prova vanliga varianter. Till exempel kan en ordmanglingsregel försöka ersätta ett "o" med en "0" eller lägga till ett "!" till slutet av ett ord. Dessa regler är i allmänhet baserade på vanliga ersättningar eller tillägg som folk gör - det behöver inte sägas att det är inte särskilt säkert. Den största nackdelen med denna typ av attack är att angriparen måste ha lösenordet redan i sin ordlista, och attacken är bara lika bra som ordlistan.
Hur man skapar ett starkt lösenord
Det finns tre viktiga faktorer för lösenordsstyrka: längd, unikhet och komplexitet.
Tips: Använd INTE något av lösenorden eller delar av lösenorden som nämns i den här artikeln eftersom de inte är säkra.
Hur längden påverkar styrkan hos ett lösenord är ganska enkelt att förstå. Ju fler tecken ett lösenord har, desto fler bokstäverkombinationer måste testas innan en hackare är statistiskt sannolikt att gissa rätt. Till exempel finns det mycket fler ord på sex bokstäver än det finns fyra bokstäver. Faktum är att för varje tecken som läggs till ökar antalet totala möjliga kombinationer exponentiellt.
Längd är det bästa skyddet mot brute force-attacker, men att komma ihåg, säg, ett lösenord med 64 tecken är inte direkt lätt. Det är inte heller nödvändigt. Den idealiska situationen är att göra ett lösenord så långt att det helt enkelt är omöjligt att lägga tid och energi på att eventuellt någonsin knäcka det. Idealet är 10 tecken eller mer – i nästan alla fall räcker det.
Vissa människor kan komma på en plan för att använda ett vansinnigt långt lösenord, så länge att det skulle vara omöjligt att någonsin brutalt tvinga det. Till exempel en dikt, sångtexter eller Shakespeares kompletta verk. Förutsatt att webbplatsen tillåter det skulle det här fungera, men någon gång kan en hackare lägga till dessa kända exempel till sin ordlista "för säkerhets skull" och då faller idén isär. Det är här unikhet kommer in i spelet.
Det unika är svårt att bedöma. Av de mer än sju miljarder människor på jorden kan det vara svårt att komma på något helt unikt, men det är ändå värt att prova. Några av de vanligaste lösenorden som fortfarande används även nu är: "admin", "lösenord", "123qwe" och "qwerty". Det här är fruktansvärda lösenord, inte bara för att de är korta, utan för att de är välkända, så de kommer att finnas i varje ordlista, förmodligen som en av de första gissningarna. Vissa människor försöker göra dessa lösenord lite mer komplicerade genom att använda "Lösenord1!" men detta är för förutsägbart och finns i de flesta ordlistor också.
För att slå en ordlista-baserad attack måste du designa ett lösenord som inte kommer att vara känt eller tänkt på. Det bästa fallet är att använda ett helt slumpmässigt urval av karaktärer, men detta är förmodligen för svårt att komma ihåg.
"UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO" skulle vara ett SÄKERT lösenord, men det kommer inte att vara praktiskt.
En bra lösning är att använda ett urval av ord, det betyder ingenting tillsammans. Ett exempel, populärt av webbserien XKCD, är "CorrectHorseBatteryStaple". Det här konceptet är ganska starkt och uppmuntrar både längd och slumpmässighet, och resultatet borde vara lättare att komma ihåg än en slumpmässig sträng av tecken och symboler. Du kan välja vilka ord du vill – djur du gillar, blommor, en favoritskådespelares namn, till och med, så länge det är flera saker du kan komma ihåg. Även fem saker du har på skrivbordet just nu skulle fungera!
När det gäller komplexitet: Det är ett måste – det är definitivt en av de viktigaste aspekterna av att skapa ett lösenord. Att ändra bokstäver till siffror och lägga till symboler kan öka komplexiteten i dina lösenord. En sträng på tio tecken med slumpmässiga bokstäver, siffror och symboler är ett bättre lösenord och mindre sannolikt gissade än bokstaven "a" hundra gånger i rad, vilket i sin tur fortfarande är ett bättre lösenord än "Lösenord 12!".
Komplexitet är ett bra sätt att göra lösenord svårare att gissa men det gör dem också svårare att komma ihåg. Allt handlar om att hitta en hälsosam balans. I allmänhet är det tillräckligt med en förbättring att lägga till en liten mängd komplexitet genom att inkludera ett nummer och en symbol någonstans för att verkligen göra skillnad för ditt lösenords styrka. Det är egentligen inte nödvändigt att ändra så många tecken som möjligt till siffror eller symboler – det gör det bara svårare att komma ihåg.
Slutsatser
För att sammanfatta de tre kraven är några bra regler att komma ihåg för lösenord:
- Lösenord bör ha 10 tecken som en rimlig minimilängd, men fler är bättre.
- Lösenord bör inte vara enkla eller vanliga kombinationer av ord; de ska vara unika.
- Lösenord bör innehålla en rad teckentyper inklusive siffror och symboler
Tips: Om du är nyfiken och vill ha en levande visuell demonstration av hur längd och komplexitet påverkar den totala lösenordsstyrkan, är det inte en hemsk idé att använda en online-lösenordsstyrketestare. Följande exempel är pålitliga webbplatser. Var alltid försiktig med var du anger dina lösenord och information – vissa webbplatser kan försöka stjäla dina lösenord. Webbplatserna nedan är kända för att vara pålitliga:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php