Hälften av finländarna använder samma lösenord på flera ställen – ingen god idé

Nätbrottslingar försöker använda lösenord som avslöjats till exempel vid dataintrång för alla populära webbtjänster eftersom de vet att många återanvänder samma lösenord då de inte ids byta dem. Att komma ihåg flera unika lösenord är givetvis svårt men verkar ändå vara enklare till exempel för britter än för finländare. Man kan låta datorn komma ihåg alla lösenord, bara man väljer klokt.

Brottslingar återanvänder dina lösenord

Ett av människans grunddrag är att undvika besvär. Det är svårt att komma ihåg olika lösenord. Därför är människorna benägna att använda samma lösenord på flera ställen och väljer lösenord som är lätta att gissa.

Brottslingar vet det. Det kan hända att de samlar in personuppgifter om användare av internet till exempel genom falska förfrågningar, bildar sannolika användarnamn utifrån de uppgifter de fått och testar kombinationer av dessa användarnamn och de vanligaste lösenorden på populära webbtjänster. Denna metod träffar sällan rätt, men genom att låta ett datorprogram sköta alla försök och misstag kan intrånget lyckas tillräckligt ofta.

En mera avancerad teknik för brottslingar är att de gör intrång i servrar för lösenordsskyddade webbtjänster och stjäl tjänstens användardatabas. Om de lösenord som finns i användardatabasen inte är krypterade på behörigt sätt, får brottslingar genast en förteckning över par av användarnamn och lösenord. Sannolikt är en del av paren sådana som även passar till en annan populär webbtjänst. Under de senaste åren har det förekommit dataintrång där man stulit uppgifter för över en miljard användare.

Därför är lösenordet viktigt också för en tjänst som verkar obetydlig. Lösenordet ska helst vara annorlunda än andra lösenord eller åtminstone annorlunda än de man använder för riktigt viktiga tjänster, såsom nätbank, arbetsplatsens dator eller det primära e-postkontot. Om brottslingar får tag på ett användarnamn och lösenord till en tjänst som verkar vara mindre betydande, är det säkert att de också testar dem på viktigare tjänster. Efter att brottslingen kommit in till offrets e-post, kan han göra flera ännu allvarligare intriger som även kan medföra direkta ekonomiska förluster för offret.

Resultaten i Kommunikationsverkets konsumentundersökning visar att det är 15–24-åringar som oftast använder samma lösenord för flera tjänster (54 %). Överraskade är att antalet personer i ett hushåll också kan påverka: 52 % av hushållen med fyra eller flera personer gör så.

Bättre hantering i andra länder

Enligt Kommunikationsverkets konsumentundersökning använder 9 % av finländarna samma lösenord för alla sina webbtjänster och 41 % använder flera lösenord men vissa av dem för flera tjänster. Var tionde finländare kan inte säga hur de väljer och hanterar sina lösenord. Man kan gissa att de flesta av dem använder åtminstone ett av sina lösenord på flera ställen.

På basis av motsvarande förfrågningar i andra länder kan man dra den slutsatsen att finländarna har mycket att förbättra. Enligt den brittiska Ofcoms undersökning använde i snitt 42 % av de vuxna britterna åtminstone ett lösenord för flera tjänster samtidigt år 2015. Enligt Pew Research Centers undersökning använder 39 % av amerikanerna samma eller mycket liknande lösenord på olika konton; det andra alternativet var "mina lösenord på olika konton är mycket olika". En undersökning som Adobe låtit göra visar att så mycket som 76 % av amerikanerna använder samma lösenord för flera tjänster samtidigt. Det är tydligen svårt att mäta frågan på ett konsekvent och jämförbart sätt.

Spara dina lösenord i ett valv

Mycket få finländare använder ett program för lösenordshantering (i genomsnitt 2 % av dem som svarade), trots att många antagligen har problem med att hantera sina lösenord. Programmet används oftast bland 25–34-åringar (5 %). Så mycket som 8 % av svenskarna använder ett lösenordshanteringsprogram och enligt Adobes undersökning 11 % av människorna i USA.

Det lönar sig att satsa på skyddet för och kvaliteten på värdefulla tjänster. Det väsentliga är att först uppfatta vilka tjänster som är särskilt värdefulla för användaren. För många är den primära e-posttjänsten en värdefull tjänst som de kan använda för att beställa nya lösenord till flera andra tjänster om man glömt dem. Man ska alltså absolut komma ihåg lösenordet till e-posttjänsten, om det inte är möjligt att återställa det med hjälp av en annan tjänst. Dessutom ska lösenordet vara starkt mot intrångsförsök.

Man ska också tänka på att börja använda ett hanteringsprogram för lösenord. Lösenordshanteringsprogrammen lagrar de sparade uppgifterna i en fil och krypterar filen med en slumpmässig krypteringsnyckel som för sin del krypteras med en lösenfras som användaren väljer. När hanteringsprogrammet kommer ihåg lösenorden på användarens vägnar, kan lösenorden vara till exempel slumpmässiga teckensträng som säkert är unika och omöjliga att gissa.

Ett väsentligt krav på ett lösenordshanteringsprogram är dess kryptografiska styrka. I praktiken borde det vara omöjligt att gissa en krypteringsnyckel som öppnar de lösenord som krypterats genom ett hanteringsprogram. Det lönar sig alltså att välja ett hanteringsprogram som använder allmänt godkända krypteringsalgoritmer och långa nycklar.

Den uppenbara svagheten hos hanteringsprogrammen är lösenfrasen. Om användaren glömmer den, är det inte möjligt att öppna de data som sparats i programmet. Om lösenfrasen avslöjas för utomstående som dessutom får tag i lösenordsvalvet, avslöjas alla lösenord i valvet. Tillgången till lösenordsvalvet är också en kritisk informationssäkerhetsfaktor: om man förlorar valvet till exempel på grund av en trasig anläggning, kan användaren inte öppna lösenorden. Det är alltså värt att säkerhetskopiera lösenordsvalvet.

Lösenordshanteringsprogram finns tillgängliga i versioner som sparar lösenorden på användarens dator och i versioner som sparar dem i molnet. KeePass, KeePassX, Dashlane, 1Password, LastPass, Apple Keychain, F-Secure Key och PasswordSafe är exempel på produkterna. Kommunikationsverket har inte kontrollerat de nämnda programmen och tar därför inte ställning till om de fungerar som lovat.

Läs mer

Tietoturva nyt! Yahoo!-tietomurrosta yli miljardin käyttäjän tiedot: vaihda salasana

Kommunikationsverkets konsumentundersökning: Internetsamtalen har ökat kraftigt

Ofcoms undersökning: Internet use and attitudes

Pew Research Centers undersökning: Password management and mobile security 

Adobe Security Survey

Use of password manager tools in Sweden in 2016

Keeper Security: What the Most Common Passwords of 2016 List Reveals [Research Study] 

Teema: Salasanalla on väliä

Teema: Milloin varmuuskopioit viimeksi?

Salasanat haltuun, Neuvoja salasanojen käyttöön ja hallintaan [pdf, 364 KB]

Aleksi Vähimaa: Ota salasanat haltuun. Tidningen Tivi, augusti 2017.

Wikipedia: Password manager

Anvisning 2/2016 Webbsidornas mörka sida - Anvisningar för avvärjande av cyberhot mot innehållshanteringssystem


Uppdateringshistorik

Ämnesord: Informationssäkerhet , Cyberbrottslighet , Dataintrång , E-post , Kryptering , Lösenord , Nät , Nätfiske (phishing) , Informationssäkerhet nu!

LinkedIn Print

logo

Kommunikationsverket

Cybersäkerhetscentret

PB 313, 00181 Helsingfors


Mediekontakter per telefon: +358 295 390 248