Så fixar du lösenord som både är säkra och enkla

Ska lösenorden vara långa eller krångliga?

– Ett unikt lösenord per tjänst är allra viktigast. Efter unikt kommer långt och först därefter kommer komplext, säger Anne-Marie Eklund Löwinder som är säkerhetschef på Internetstiftelsen i Sverige, IIS.

Det är alltså bättre att välja en lång mening på 20 eller 25 tecken än ett kortare lösenord med många specialtecken. Det är helt enkelt svårare att knäcka ett längre lösenord.

– Om du har en riktigt lång fras tillför komplexiteten inte så mycket. Det är när du måste ha lösenord som bara är nio eller tio tecken långt som det är rimligt att ha en viss komplexitet, säger Anne-Marie Eklund Löwinder.

Hur ofta ska man byta lösenord?

– Det här med frekventa, regelbundna byten är helt uppåt väggarna. Det är kontraproduktivt har forskare visat. Det leder bara till att man väljer för korta och lätta lösenord, säger Anne-Marie Eklund Löwinder.

Undantaget är om du tror att ditt lösenord blivit röjt på något sätt, eller att du delat med dig av det till en annan person. Då gör du bäst i att byta.

Hur ska man komma ihåg alla lösenord?

– Säg att du behöver hålla reda på kanske fyra eller fem stycken, säger Anne-Marie Eklund Löwinder.

Om grundregeln är att ha ett unikt lösenord på varje tjänst eller webbsida blir de snart svåra att hålla reda på. En lösning som Anne-Marie Eklund Löwinder rekommenderar är att använda lösenordshanterare.

Det är program som samlar alla dina lösenord i en krypterad databas och sedan låter dig plocka fram dem vid behov. Det finns både alternativ som lagrar lösenorden i molnet och sådana som lägger dem lokalt på din telefon eller dator. Några populära alternativ är Lastpass, 1Password, Keepass och Dashlane.

Ska alla lösenord ligga i lösenordshanterare?

– Det är några lösenord jag aldrig lägger där. Som min Windows-inloggning, lösenordet till min privata mejl och koden till mitt Bank ID, säger Anne-Marie Eklund Löwinder.

– Skulle lösenordshanteraren mot all förmodan hackas har jag åtminstone det viktigaste skyddat någon annanstans. Det skadar inte att skriva upp de viktigaste lösenorden och lägga på ett säkert ställe, som en backup ifall man får hjärnsläpp.

Hur gör man sin inloggning ännu säkrare?

– Jag skulle tycka det vore jättebra om fler började med tvåfaktorsautentisering, säger Anne-Marie Eklund Löwinder.

Det betyder att du, utöver ditt lösenord, behöver ett fingeravtryck eller en engångskod som skickas per sms, genereras i en app eller skapas med en speciell hårdvarunyckel som svenska Yubikey.

Det är ungefär samma princip som när du loggar in på internetbanken med en dosa. Det behövs något mer, en andra faktor, än bara ett lösenord eller en pin-kod för att få komma åt dina konton.

De flesta större tjänster på nätet erbjuder tvåfaktorsinloggning. Från teknikjättar som Facebook, Google, Microsoft och Apple till många mindre sociala medier, webbutiker och molntjänster. På sajten twofactorauth.com finns en lista över företag som erbjuder tvåfaktorsautentisering och instruktioner för hur du slår på funktionen.

Vad kan arbetsgivaren göra?

Många företag har strikta regler för hur lösenord ska se ut, hur ofta de ska bytas och hur de ska förvaras. Men det gäller att göra det enkelt för de anställda, menar Anne-Marie Eklund Löwinder.

– Jag tycker att man lägger otroligt mycket ansvar på medarbetarna utan att ge dem bra stöd och verktyg. Har man krav på medarbetarna ska man se till att underlätta för dem, säger hon.

Ett förslag är att erbjuda så kallad single sign-on, det vill säga att när du är inloggad på jobbdatorn och uppkopplad mot företagetsnätverket loggas du automatiskt in på de program och tjänster som du behöver för att sköta ditt jobb. Men då krävs någon form av tvåfaktorslösning för att komma in på datorn.

– Men att hela tiden säga att ”nu har vi en ny tjänst där du ska skapa ett nytt, unikt lösenord” är inte särskilt lätt för användarna. Jag förstår om man inte klarar av att hantera det på ett bra sätt, säger Anne-Marie Eklund Löwinder.