De flesta kontokapningar sker inte via sofistikerade hackerattacker mot välskyddade system. De sker för att människor använder samma lösenord på flera ställen, och ett av dessa ställen läcker. Det är ett gammalt problem med en enkel lösning som ändå inte är tillräckligt utbredd. Den här guiden går igenom vad som faktiskt skyddar dig och i vilken ordning du bör prioritera.

Lösenord är fortfarande det svagaste länken

Dataintrång är vardag i digital infrastruktur. IBM:s Cost of a Data Breach-rapport visar att intrång i genomsnitt tar månader att upptäcka, och när de väl avslöjas inkluderar de ofta miljontals användares inloggningsuppgifter. Dessa uppgifter hamnar på mörkwebben och används i automatiserade attacker mot andra tjänster.

Angreppsmetoden kallas credential stuffing: ett automatiserat system provar läckta inloggningsuppgifter mot hundratals tjänster i hög hastighet. Om du använder samma lösenord på Netflix och din bank, och Netflix läcker, kan angriparen komma in på din bank utan att behöva knäcka något.

MSB, Myndigheten för samhällsskydd och beredskap, betonar i sina riktlinjer för privatpersoner att unika lösenord per tjänst är den enskilt viktigaste grundåtgärden för digital säkerhet.

Vad ett starkt lösenord faktiskt är

Den populära bilden av ett starkt lösenord, en blandning av versaler, siffror och specialtecken som P@ssw0rd1!, är missvisande. NIST, USA:s nationella standardiseringsorgan, uppdaterade sina riktlinjer för att tydligt gå emot detta tänkande. Komplexitetskrav leder till förutsägbara mönster som är lättare att knäcka än långa men enkla fraser.

Brittiska NCSC (National Cyber Security Centre) rekommenderar tre slumpmässiga ord: exempelvis "koffert-apelsin-fönster". Det är längre, lättare att komma ihåg och svårare att knäcka via brute force än ett kortare "komplext" lösenord. Längd är den viktigaste faktorn för lösenordsstyrka.

I praktiken spelar lösenordets styrka inte så stor roll om du använder en lösenordshanterare, eftersom du då kan låta den generera ett slumpmässigt lösenord på 20-30 tecken för varje tjänst, och du behöver aldrig komma ihåg det.

Smartphone med säkerhetslås-ikon på skärmen
Tvåfaktorsautentisering lägger till ett extra lager skydd utöver lösenordet. Foto: Pexels

Varför du aldrig ska återanvända lösenord

Credential stuffing fungerar för att det är lönsamt. Automatiserade verktyg kan prova ett läckt lösenord mot tusentals tjänster på sekunder. Kostnaden för angriparen är minimal; kostnaden för offret kan vara betydande.

Det är omöjligt att veta vilka tjänster du använder som läcker i framtiden. Den tjänsten du registrerade dig på 2018 och knappt tänker på kan ha haft ett intrång som du aldrig fick reda på. Om du återanvände det lösenordet någonstans är du sårbar.

Lösningen är inte att komma ihåg fler lösenord. Det är att sluta försöka komma ihåg dem.

Lösenordshanterare: hur de fungerar och varför de är säkra

En lösenordshanterare är ett program som genererar, lagrar och fyller i unika lösenord för varje tjänst. Du behöver bara komma ihåg ett enda lösenord, det till hanteraren själv. Allt annat är krypterat och hanteras automatiskt.

Den vanligaste invändningen är oro över att "lägga alla ägg i samma korg". Det är en rimlig tanke, men den missar hur lösenordshanterare faktiskt fungerar. De lagrar lösenord krypterade med din huvudnyckel, vilket innebär att leverantören aldrig kan se dina lösenord i klartext. Om deras servrar läcker är datan meningslös för angriparen utan din huvudnyckel. Den är aldrig skickad till leverantören.

Bitwarden är ett gratis, öppen källkod-alternativ med stark säkerhetsmodell och regelbundna oberoende granskningar. 1Password är ett välansett betalt alternativ med polerad upplevelse. Apples inbyggda lösenordsfunktion och Googles Password Manager är också väsentligt bättre än att inte använda något alls, och kräver ingen extra installation.

Troy Hunt, grundaren av Have I Been Pwned och en av de mest respekterade rösterna inom digital säkerhet, formulerade det träffsäkert: lösenordshanterare behöver inte vara perfekta, de behöver bara vara bättre än att inte använda en. Det är ett lågt tröskel att uppfylla.

Tvåfaktorsautentisering: vad det är och varför autentiseringsapp är bättre än SMS

Tvåfaktorsautentisering (2FA) innebär att du behöver två saker för att logga in: ditt lösenord och en engångskod. Koden byts var trettionde sekund och genereras antingen av en app eller skickas via SMS.

SMS-2FA är bättre än ingenting men har en känd svaghet: SIM-swapping. Angriparen kontaktar din mobiloperatör och utger sig för att vara du för att flytta ditt telefonnummer till ett nytt SIM-kort. När det lyckas kan de ta emot dina SMS-koder. Det kräver social engineering men är en dokumenterad attackmetod som används mot specifika mål, ofta personer med värdefulla konton.

En autentiseringsapp (Authy, Google Authenticator, Microsoft Authenticator) genererar koderna lokalt på din enhet utan att involvera operatören. Den är immun mot SIM-swapping. För de allra viktigaste kontona, e-post och bank, är autentiseringsapp det klart bättre valet.

Prioriteringsordning: vilka konton att säkra först

Om du inte gör allt på en gång, och de flesta gör det inte, är prioriteringsordningen viktig. Inte alla konton är lika kritiska.

Prioritet 1: e-postkontot. Din e-post är nyckeln till allt annat. Den används för att återställa lösenord på i princip alla andra tjänster. Om en angripare kontrollerar din e-post kan de återställa lösenorden på din bank, din Swish-koppling, dina sociala medier och allt annat. E-postkontot ska ha ett unikt, starkt lösenord och 2FA med autentiseringsapp, ingen diskussion.

Prioritet 2: bank och BankID. Din bank och eventuella investeringskonton är uppenbara ekonomiska risker. BankID är kopplat till personnummer och kräver extra försiktighet.

Prioritet 3: sociala medier och plattformar med betalinformation. Konton med sparad kortinformation eller konton som kan användas för att sprida bedrägerier (kapade konton på sociala medier används för detta) är nästa nivå.

Prioritet 4: övriga tjänster. Alla övriga konton bör ha unika lösenord via en lösenordshanterare, men 2FA är frivilligt om tjänsten inte innehåller känslig information.

Have I Been Pwned: kontrollera om du är exponerad

Haveibeenpwned.com är en gratis databas som samlar känd läckt inloggningsdata och låter dig söka på din e-postadress för att se om du dyker upp i någon känd läcka. Tjänsten drivs av Troy Hunt och är ett av de mest använda säkerhetsverktygen bland säkerhetsforskare och privatpersoner.

Om din e-postadress dyker upp i ett intrång innebär det att lösenordet du använde på den tjänsten vid den tidpunkten finns tillgängligt för angripare. Om du återanvänt det lösenordet någon annanstans bör du byta det direkt.

Webbplatsen låter dig också registrera en e-postadress för notifiering vid framtida intrång. Det är ett gratis larm som inte kräver något.

Vad du gör om du blivit hackad

Om du misstänker att ett konto blivit komprometterat, gör följande i denna ordning:

  1. Byt lösenordet på det drabbade kontot omedelbart till ett unikt lösenord du inte använder någon annanstans.
  2. Aktivera 2FA på kontot om det inte redan är aktiverat.
  3. Kontrollera om du har använt samma lösenord på andra tjänster och byt dem också.
  4. Granska kontots aktivitetslogg (finns på de flesta plattformar) för att se om angriparen gjort något via kontot.
  5. Om kontot är kopplat till betaltjänster, kontakta banken och granska transaktioner.
  6. Byt lösenordet på din e-post om du inte redan gjort det, eftersom e-post är den vanligaste inkörsgranden.

Om det rör sig om BankID eller ett konto med tillgång till ekonomiska medel, kontakta banken direkt per telefon.

Lösenordssäkerhet i relation till bredare integritet

Starka lösenord och 2FA skyddar dina konton mot obehörig åtkomst men säger ingenting om hur tjänsterna du använder hanterar din data i övrigt. Den frågan behandlar vi i artikeln om integritet online. VPN är ett annat verktyg som ibland presenteras som lösning på säkerhetsproblem men fyller en annan funktion, vi går igenom vad det faktiskt gör och när det är relevant i guiden om VPN.

Den praktiska prioriteringen är klar: lösenordshanterare och 2FA på dina viktigaste konton ger mer säkerhetsvinst per minut investerad tid än nästan något annat du kan göra. Det är en rimlig investering för de flesta.

Mer om digital säkerhet och teknik i vardagen finns i vår samlade teknikguide.