David Jacoby har arbetat som säkerhetsexpert i över 15 år och arbetar som ansvarig för säkerhetsforskning i Norden på Kaspersky Lab. PC för Alla har frågat David hur han ser på det svenska folkets lösenordsvanor.

Hur ser du på resultatet i PC för Allas undersökning som visar att 7 av 10 aldrig bytt sitt lösenord på Facebook, samt att 4 av 10 känner till en annans mejllösenord?

David Jacoby– Jag är inte ett dugg förvånad. Under den tiden jag arbetade med penetrationstest och säkerhetsanalyser så upptäckte jag väldigt snabbt att nästan alla företag vi arbetade med hade väldigt stora brister i lösenordshanteringen.

Detta är någonting som också återspeglas hos privatpersoner menar David Jacoby. Att 7 av 10 aldrig bytt sina lösenord är inte något som förvånar honom, men absolut något han vill förändra.

– Det folk inte tänker på heller är att lösenords ofta återanvänds, men detta menar jag att man har samma lösenord på många olika ställen. Precis som ni skriver så har jag också noterat att folk värdesätter sin privata mail och sitt Facebookkonto mycket högre än om någon skulle komma åt exempelvis företagsmailen.

– På en arbetsplats så händer det ofta att en dator är låst och personen som äger datorn är inte fysiskt på plats. Då en kollega skall bara snabbt gå in och kolla sin mail eller hämta ett dokument kanske de ringer upp kollegan och frågar om hans lösenord, vilket han gärna lämnar ut.

Hur viktigt är det att man byter lösenord ofta?

– Det är väldigt viktigt att man byter lösenord, men det är inte hela hemligheten till att ha ett säkerhet lösenord.

David påpekar vikten av att hitta en bra balans mellan ett lösenord som inte är enkelt att gissa, samt att det byts ett par gånger om året. Det gäller också att inte ha samma lösenord på alla sina sidor man besöker.

– Det är väldigt vanligt att användare har samma lösenord på Facebook, som på andra forum, mail och andra sidor som tradera. Det förekommer också att man har samma lösenord privat som på jobbet, vilket kan ställa till en hel del bekymmer.

Vad bör man tänkta på när man väljer ett lösenord?

– Det är ett par saker man skall tänka på när man skapar ett lösenord, jag har försökt att göra en checklista, utan någon speciell ordning:

  • Ett lösenord skall vara enkelt att komma ihåg, men endå komplext. Ett tips är att komma på en ramsa och ta ut första bokstaven i varje ord och lägga till specialtecken och siffror, exempelvis "bä bä vita lamm" kunde bli "bbvlhdnu!007!åäö"
  • Längden på lösenordet är också viktigt samt att det inte finns med i en ordlista. Detta kan ha väldigt stor betydelse om någon försöker knäcka lösenordet.
  • Ett annat bra tips är att använda svenska tecken i lösenordet eftersom många av lösenordsknäckarprogrammen är utvecklade av folk som inte bor i Sverige så koller de inte efter lösenord med svenska tecken (åäö).

Hur är säkerheten generellt på sociala tjänster såsom Facebook och Twitter?

– Det är svårt att säga eftersom vi inte har insikt i användarnas lösenord, men om man tittar på lösenordspolicy på dessa siterna, så på exempelvis Facebook och Twitter så måste lösenordet vara på minst 6 tecken, men inget krav på specialtecken eller komplexa lösenord. Dom tittar endast på längden. På Twitter så skriver de "Be Tricky!" när man skall skapa ett konto.

Har du några andra tips användarna bör tänka på när det handlar om lösenord på internet?

– Något som kan vara relevant att prata om, är den ökade trenden med phishing-attacker som finns på sociala medier. När du väl skrivit in ditt lösenord på exempelvis Facebook, så skall du inte behöva fylla i det igen.

Om du exempelvis lägger till en applikation på Facebook, eller ett spel och de frågar efter ditt lösenord så borde du tänka till två gånger. Om du är osäker så kontakta de som äger sidan, eller ett säkerhetsföretag, exempelvis Kaspersky så kan de hjälpa dig.

Det är inte bara på Facebook detta kan hända, det är vanligt att andra sociala medier tillåter dig att "importera" vänner från MSN eller Facebook. För att importera dina vänner krävs oftast användarnamn och lösenord till tjänsten, detta är också något du borde hantera varsamt, du har ingen aning hur den tredje partsleverantören hanterar dina lösenord.