Ta hand om lösenorden – Vem använder ditt konto?

Du loggar in på tjänster med hjälp av ett användarnamn och ett lösenord. Meningen med inloggningen är att övervaka och avgränsa användarna i tjänsten. Användarna känns igen och verifieras med hjälp av sina användarnamn och lösenord. Som användarnamn används ofta till exempel e-postadress, som är lätt att gissa. Därför ska du satsa på ett gott lösenord som endast du känner till.

Lösenordet är en teckenserie som endast du vet och vars ändamål är att hindra att ditt användarnamn kan användas utan tillstånd. Ett bra lösenord är sådant som ingen utomstående kan gissa eller ta reda på. Oftast kan användaren tämligen fritt välja sitt lösenord, men ofta har tjänsten krav på lösenordets längd och tecken som ingår i det. På så sätt ökar man tjänstens säkerhet. Ett långt och individuellt lösenord är bättre är ett kort, eftersom det är svårt att gissa. 15 tecken är tillräckligt i många tjänster. Eftersom det kan vara svårt att komma ihåg långa lösenord, borde man använda lösenmeningar i stället för lösenord.

Använd olika lösenord i olika tjänster. Så hindrar du att ditt lösenord kan användas i andra tjänster om det läcks från en tjänst. Särskilt det e-postkonto som du använder för att logga in och återställa lösenordet ska ha ett så bra lösenord som möjligt. Skydda denna e-postadress även med flerstegsverifiering. I vissa webbtjänster skapar systemet ett tillfälligt lösenord för användaren när man registrerar sig. Det ska man omedelbart byta till ett lösenord man själv har valt.

Om du använder någon tjänst ytterst sällan, till exempel en gång om året, kan du be om ett nytt lösenord till din e-postadress varje gång.

Ett bra lösenord

• är långt, tumregeln är minst 15 tecken
• hellre en mening än ett ord
• innehåller specialtecken; %&//()=

Använd inte:

• lata och enkla lösenord såsom ditt eget namn, katt123, qwerty, ditt födelsedatum
• de vanligaste ersättningarna i=1 och e=3
• Ge aldrig ditt lösenord till någon.
• Om du använder en gemensam dator till exempel på bibliotek, kom ihåg att tömma webbläsarens historik.

Med flerstegsverifiering menas att din identitet säkerställs med två eller flera identifieringsmetoder.  I dessa kan ingå till exempel:

• Något du vet (PIN-kod, lösenord, skriftliga och grafiska säkerhetsfrågor och -svar)
• Något du har (till exempel en varierande kod som skickas till mobilen, såsom mobilcertifikat)
• Något du är (till exempel ditt fingeravtryck eller en bild på din iris)

Idén med flerstegsverifiering är att även om brottslingen får reda på ditt användarnamn och ditt lösenord, går det inte att logga in på tjänsten utan extra verifiering. Enligt Microsoft kan nästan alla försök att kapa konton kunde hindras genom att man använder flerstegsverifiering. (Extern länk)

Användaren meddelas om avvikande inloggningar. Så är det möjligt att reagera snabbare på otillåtet bruk och meddela om att verifieringsdata har hamnat i fel händer. I bästa fall hinner användaren själv hindra allvarlig bedräglig användning av kontot.

Lösenordshanterare hjälper med att skapa och bevara lösenord. Man kan bilda lösenord och spara dem i lösenordshanterare. Så behöver man inte komma ihåg lösenorden, bara man kommer ihåg lösenordet till hjälpprogrammet.

Det är möjligt att spara lösenord i lösenordshanterare i krypterad form så att lösenorden är tillgängliga bakom ett huvudlösenord. I de flesta lösenordshanterare kan man även skapa högkvalitativa och olika lösenord för olika tjänster och på så sätt minska risken för dataintrång.

När man väljer lösenordshanterare är det bra att veta att vissa applikationer sparar lösenorden i krypterad form i molntjänst och andra sparar dem på en lokal dator eller på den terminal där man installerat programmet. Lösenorden i en tjänst som använder molntjänst är lätt tillgängliga på olika terminaler. Om huvudlösenordet försvinner eller används bedrägligt, kan alla lösenorden hamna i fel händer. I ett lokalt program har utomstående mindre ofta tillgång till lösenorden, men terminalens funktionalitet, säkerhetskopiornas aktualitet och säker lagring kan påverka om man kan använda sina lösenord.

Applikationer som är avsedda för hantering av lösenord är bland annat 1Password, Bitwardn, Dashlane, Enpass, F-Secure ID PROTECTION, Password Safe, Keepass ja KeepassX, Keeper, Keychain, LastPass och RoboForm.

Transport- och kommunikationsverket Traficom har inte granskat de programvaror som nämns ovan och tar inte ställning till om programvarorna fungerar såsom tillverkarna beskriver dem.

Om lösenordshanteringsprogram inte är lämpliga för dig, kan du få hjälp med att komma ihåg lösenorden till exempel av att

• du skriver ner ditt lösenord på en minneslapp antingen helt eller delvist. Förvara lappen på ett tryggt ställe. Skriv informationen så att en utomstående inte kan få reda på vilken tjänst eller vems konto lösenordet är för, i fall du tappar bort lappen.
• du sparar ditt lösenord i krypterad form i en fil på datorn, i e-post eller på ett USB-minne.

Det lönar sig absolut att bekanta sig med inloggningsmeddelanden. När du tar inloggningsmeddelanden i bruk, får du ett meddelande om din tjänst används på ett ovanligt ställe eller från en ny enhet. Du lär dig snabbt att läsa inloggningsmeddelanden och konstatera om du själv har loggat in från en annan enhet än vanligt eller om någon familjemedlem använder tjänsten i till exempel Tibet. Om din närstående inte är i Tibet, granska inloggningsmeddelandet mer noggrant och ta reda på om inloggningen är berättigad.

Nästan alla webbtjänster har en självbetjäningstjänst för att beställa ett nytt lösenord om man har glömt det gamla lösenordet. Oftast skickas länken för att annullera och förnya det gamla lösenordet till den e-post man meddelat när man registrerade sig på tjänsten. E-postkontots lösenord är därför särskilt viktigt även för förvaltningen av andra tjänster.

Skydda huvudlösenordet till lösenordshanteraren särskilt noggrant. Om de glömmer det, innebär det oftast att du inte längre kan använda någon av den information du sparade. I vissa lösenordshanterare är det möjligt att beställa ett nytt lösenord, men för att skydda din information görs det på ett sätt som är mycket mer komplicerat och noggrant än återställandet av lösenord i andra tjänster. Om någon fick tag på lösenordet till din e-post och huvudlösenordet till lösenordshanteraren, skulle det göra det möjligt att logga in och byta lösenorden till även andra tjänster du använder.

Tänk efter innan du öppnar länkar i meddelanden som säger sig vara skickade för att återställa ett glömt lösenord. Brottslingar skickar nämligen även nätfiskemeddelanden ser ut som dessa och hoppas på att mottagarna kommer att mata in verkliga användarnamn och lösenord på nätfiskesidan. Klicka på länken endast om du själv har beställt återställandet av lösenordet.

Brottslingar försöker få tag på användarnas lösenord eftersom de är digital valuta som andra betalar för. Man försöker ta reda på dem genom e-post, per telefon och genom sms. Man försöker fiska dem direkt från webbläsarfiler och med tangentloggare. Brottslingen kan även försöka installera ett program som stjäl din information på din dator.

Du kan skydda dig mot lösenordsfiskare genom att du aldrig överlåter ditt lösenord till någon annan, med vilken som helst ursäkt. Du kan skydda dig mot brottslingar som försöker få dina uppgifter genom din webbläsare genom att hålla din programvara aktuell. Ett tredje bra sätt är att inte klicka på filer som kommer som bilagor i e-postmeddelanden, om du inte är säker på vad de innehåller.

Ibland blir lösenord till populära tjänster stulna från tjänsteproducenterna. Om du får höra att lösenord till en tjänst du använder har hamnat i fel händer, byt ditt eget lösenord omedelbart. Om du använder flerstegsverifiering på en tjänst som blivit offer för ett intrång, är dina uppgifter säkra.

Det finns även tjänster där du kan kontrollera om dina uppgifter möjligen kommit i fel händer. Det betyder inte nödvändigtvis att den stulna informationen har använts bedrägligt. Du ska byta lösenordet i de tjänster som har meddelats ha lidit dataläckage och där du använder samma lösenord.

•  haveibeenpwned.com/ (Extern länk)

Ett lösenord kan ibland av en eller annan orsak komma i fel händer. Om du märker att någon utomstående fått tag på ditt lösenord, byt lösenordet omedelbart. Så kan du hindra bedräglig användning.

Om du har gett uppgifter till en bedragare, ta omedelbart kontakt till din bank. Om du misstänker ett brott, gör även en brottsanmälan (Extern länk).