Vi vet ditt lösenord!

Jag började med penetrationstestning 2005. På den tiden var dåliga lösenord en väldigt vanlig anledning till att vi lyckades ta över ett bolags IT-infrastruktur. Vad som är väldigt intressant är att idag, 14 år senare, är det minst lika vanligt med dåliga lösenord. 

Vad utgör dåliga lösenord?

Vad är det då som gör ett lösenord dåligt och vilka misstag ser vi att många gör när de väljer lösenord?

• Man har samma lösenord på flera konton
• Man använder vanliga ord
• Man använder en sekvens med siffror "12345678"
• Det baseras på företagsnamn, år och "!" ”Acme2019!”
• Det baseras på årstid och årtal, ”Spring2019”
• Man använder namn på någon nära såsom barn, fru, hund, katt eller liknande
• Man tar det som är standard för produkten
  
  

Har vi listat ditt lösenord i exemplen ovan? Då är det hög tid att ändra det! Men vad definierar ett bra lösenord då? Företagspolicyn säger åtta tecken som måste uppfylla en lösenordskomplexitet av versaler, gemener, nummer och ett specialtecken. Men det räcker inte på långa vägar säger vi.

Det här är ett bra lösenord

Människor är lata av naturen och det blir därför helt naturligt att man väljer ett lösenord som "Acme2019!", eftersom det räcker för att uppfylla alla krav i en lösenordspolicy. Men för en angripare är det både välkänt, lätt att gissa och lätt att knäcka. Så nyckeln till ett bra lösenord är att välja de som är svåra att knäcka men lätta att komma ihåg och inte tvärtom.

Vad gör då ett lösenord svårt att knäcka? Följande parametrar:

• Längden på ordet och användning av alla delar från teckenutrymmet.
• a-z
• A-Z
• 0-9
• Symbol 14: ! @ # $% ^ & * () -_ + =
• Symbol 18: ~ `[] {} | \:;" '<>,.? /
• Teckenuppsättningslängd: 95

Hur ska jag konstruera mitt lösenord då? Använd längd, något som är lätt att komma ihåg och tecken från alla ovan angivna delar.

Exempel:

• Steven_Segal_1s_Hard_to_kill!
  (29 tecken - versaler, gemener, nummer, specialtecken)
• MyDaugther1sCute-
  (17 tecken - versaler, gemener, nummer, specialtecken)
• M0makesGreatFood@home?
  (22 tecken - versaler, gemener, nummer, specialtecken)

Okej, jag tror att du fattar poängen - gör dem längre och använd något du kommer ihåg.

Hur är det då med alla dessa tjänster du registrerar dig för på Internet? Något vi redan har lärt oss är att människor tenderar att återanvända samma användarnamn "e-postadress" och lösenord för alla sina tjänster online. Vilket innebär att om en av dessa tjänster blir attackerade riskerar alla dina onlinekonton att bli det. Varför inte omedelbart kontrollera om du har ett konto som har  äventyrats vid ett dataintrång: https://haveibeenpwned.com/

Vi rekommenderar att använda en lösenordshanterare där du lagrar alla dina uppgifter för olika tjänster skyddade med ett långt och säkert lösenord. Sedan genererar du långa, slumpmässiga och unika lösenord för varje tjänst du registrerar dig på.

Exempel på lösenordshanterare:

• 1Password
• Bitwarden
• Enpass
• KeePass
• Dashlane
  
  

För att ytterligare förbättra säkerheten bör du alltid se till att aktivera multifaktor-autentisering (MFA) på tjänster som tillåter det. Dessa hanteras enkelt med till exempel Google Authenticator mobil applikation.

Så, för att sammanfatta detta blogginlägg, se till att:

• Välja ett långt, men lätt att komma ihåg, lösenord med tecken från alla teckenuppsättningar.
• Använd en lösenordshanterare för att lagra referenser för onlinetjänster.
  
  

Aktivera MFA på alla tjänster som är möjliga.

Att belysa eventuella problem så tidigt som möjligt gör att du kan agera och förebygga för att skydda er mot potentiella hot. Vi kan hjälpa dig med det genom att göra ett penetrationstest, läs mer om det genom att klicka på knappen nedan eller kontakta mig direkt.