Engångskoder är ett sätt att minimera problemen med läckta lösenord. Aktivera den funktionen där det går!
SVT:s program Dold får idag stor uppmärksamhet. Redaktionen har byggt en tjänst där du kan ta reda på om dina lösenord är på drift.
Genom åren har flera stora sajter runt om på internet drabbats av intrång där användardatabasen hamnat på drift. Och med den användarnas e-postadresser – och (kanske) lösenord.
Jag skriver “kanske”. Ibland har lösenorden varit i klartext, det vill säga begripliga för en människa. Ibland har de varit hashade, en slags kryptering. Men de hashfunktioner som använts har inte alltid varit de bästa. I praktiken är en dålig hashfunktion samma sak som klartext.
Dold har byggt en databas med e-postadresser som finns med i en del av de här läckorna. Matar du in din e-postadress får du reda på om den funnits med i några av läckorna, vilket i så fall också innebär att lösenordet som du använde på den aktuella sajten har hamnat i felaktiga händer.
Att använda tjänsten är riskfritt. Din mailadress är ju ingen hemlighet, och därför är det ingen direkt fara att knappa in den i formulär på webben. Det värsta som kan hända är att du drabbas av mer spam.
Men om din mailadress är med i sökningen, då finns det anledning att agera! Byt åtminstone på den drabbade sajten. Och om du använt samma lösenord på fler sajter, byt där också.
Använd orginalet – få en varning vid nästa läcka #
Dolds tjänst är en svensk variant av haveibeenpwnd, utvecklad av säkerhetsexperten Troy Hunt. Jämfört med Dold har Hunts tjänst åtminstone två fördelar.
För det första innehåller den fler läckor. När jag söker på min e-postadress hos Dold får jag reda på att den funnits med i tre läckor. Hos Troy Hunt är siffran den dubbla. Genom att använda haveibeenpwnd får du alltså en bättre bild av när dina lösenord faktiskt har läckt.
Haveibeenpwnd har dessutom en notifieringsfunktion. Den låter dig prenumerera på varningar. Så snart en ny läcka sker – och det kommer att hända – där din e-postadress finns med – också högst troligt – kommer du få ett mail om det.
Hur minimera skadan av läckta lösenord? #
Att lösenord kommer att fortsätta läcka innebär att du måste fundera på hur du ska minska konsekvenserna när det uppstår. Och det finns några saker du kan och bör göra:
- Återanvänd inte lösenord. Samma lösenord ska inte användas på mer än en webbplats. Om du inte orkar leva upp till det rådet, se åtminstone till att dina viktigaste konton är skyddade av unika lösenord. Allra viktigast är e-posten, eftersom det är dit nya lösenord skickas när du eller någon annan beställer ett nytt lösenord.
- Aktivera engångskoder. De flesta stora webbplatser, som Dropbox, Google, Facebook och så vidare, har i dag en funktion som ser till att det inte räcker med ett lösenord för att logga in. Du måste också mata in en engångskod, som antingen skickas som sms till din telefon eller skapas med en app i den. Absolut, det blir bökigare för dig när du ska logga in. Men för en obehörig som har ditt lösenord tar det stopp helt och hållet.
- Börja använda en lösenordshanterare, ett digitalt kassaskåp där du låser in dina lösenord och andra uppgifter. Det gör att du inte behöver komma ihåg alla unika lösenord, och det innebär dessutom att det blir lättare att leva upp till råden om väldigt långa lösenord. Själv är jag nöjd med 1password.
Läs och lyssna mer om lösenord #
Om lösenord har jag skrivit och pratat om en hel del tidigare. Några länktips: