Med hundratals konton på olika sajter och tjänster som alla behöver varsitt lösenord är vår stående rekommendation till alla att skaffa och använda en lösenordshanterare. Det löser många av problemen med lösenord, men inte ens med en lösenordshanterare kommer du undan helt att välja lösenord. Du måste ju för det första ha ett lösenord till ditt lösenordsvalv, och förmodligen har du ett par konton du vill kunna lösenorden till utantill. Ditt konto på datorn till exempel.

Läs mer: 6 av 10 slarvar med lösenorden

Lösenord

Gamla råd kan ställa till det

Under många år har vi blivit itutade att ett säkert lösenord består av slumpvis valda tecken – inte bara ur alfabetet utan även siffror och symboler – och är ”minst 8 tecken långt”. Till och med lösenorden till trådlösa routrar har en välkänd minimilängd på 8 tecken, vilket har lett till att kaféer kan ha lustiga lösenord som bönan123.

Det här var aldrig särskilt bra riktlinjer, men för länge sedan när kapaciteten hos datorer var många gånger lägre märktes det inte. Ett lösenord som 4#weM7[L är betydligt säkrare än password eller 12345678, och med åtta tecken var det i det närmaste omöjligt att cracka.

Men det var då. Idag kan en vanlig pc med ett kraftfullt grafikkort cracka det på någonstans mellan ett par dagar och några veckor.

Idag bör lösenord som består av slumpmässiga tecken vara minst 12 tecken långa, och helst ännu längre. Om du tyckte det var svårt att komma ihåg 4#weM7[L så kan du ju testa eFxNvANveD6=z2*P.

Missa inte: Så fungerar lösenordshanterare - och därför ska du ha en

Xkcd om lösenord

Correct horse battery staple – Xkcd-tekniken

Den välkända internetserien Xkcd har publicerat en av de mest träffande kritikerna av den under många år allenarådande uppfattningen om hur säkra lösenord är skapta. ”Genom 20 års ansträngningar har vi lyckats lära alla att använda lösenord som är svåra för människor att komma ihåg men lätta för datorer att gissa.”

Svaret på dilemmat är att inte tänka så mycket på tecken. Svårigheten för en dator att cracka ett lösenord beror på två faktorer: Huruvida det faktiskt är slumpmässigt valt, och hur många olika gissningar en dator i genomsnitt behöver göra för att hitta det.

Det första handlar om att inte välja lösenord från listan över de 1 000 eller 10 000 vanligaste lösenorden (listor som lösenordscrackarprogram har tillgång till och använder först, eftersom de är så pass vanliga). Använd inte heller ditt namn eller något annat som kan kopplas till dig.

Det andra handlar om hur många olika tecken du väljer bland och hur många tecken du har. Med alfabetet, siffror och specialtecken handlar det om ungefär 96 olika tecken att välja mellan och har du då 8 tecken i lösenordet blir det totalt 7x10^15 kombinationer.

Väljer du istället fyra slumpade ord från SAOL får du med årets lista cirka 2,5x10^20 kombinationer (fyra ord valda bland cirka 126 000). Men det är samtidigt nästan lika enkelt att minnas som fyra slumpmässiga bokstäver.

Idag har flera lösenordshanterare, bland annat 1Password, inbyggt stöd för att skapa lösenord från ordlistor på det här sättet. Det kan du använda även för att skapa lösenord som du vill lägga på minnet. Vill du ha ord på svenska kan du helt enkelt översätta de ord som slumpats fram på engelska.

Om du inte hittar på utan väljer själv blir slumpmässigheten så klart mindre, men för en naiv attack av någon som inte känner dig är skillnaden minimal. Se bara till att inte välja ett citat, en titel eller något annat som faktiskt redan har skrivits.

Knepiga krav