Regelbundna lösenordsbyten har spelat ut sin roll

Fotnot 6 maj 2021: Denna artikel publicerades ursprungligen 20 januari 2021, men eftersom 6 maj också kallas "World Password Day" fann vi det lämpligt att lyfta den en gång till.

Den 20 januari 2010 firade PC för Alla Lösenordsbytardagen för första gången. "Vi bör byta lösenord åtminstone en gång om året", var budskapet och med en gemensam deadline skulle användarna inte råka glömma bort detta göromål. Lösenordsbytardagen fick mycket uppmärksamhet och rätt datum dyker till och med upp när du googlar den.

Ett decennium och ett år senare är uppmaningen till regelbundna lösenordsbyten förlegad. PC för Alla har istället använt den 20 januari för att nå ut med bredare undersökningar och säkerhetsfokuserade artiklar. Men vinjetten "Lösenordsbytardagen" har alltjämt levt kvar. Tills nu, vill säga, när vi vinkar ett slutgiltigt farväl. Den skickade helt enkelt fel signaler.

Säkerhetsexperter har nämligen sedan ett par år tillbaka grumsat om att vi inte alls ska byta lösenord på regelbunden basis. Det är givetvis en sak om du vet med dig att du använder svaga sådana – men vet du att dina lösenord är starka finns ingen anledning att hålla på och byta ut dem stup i kvarten.

Varför då? För att vi är människor! Det menar Karl Emil Nikka, it-säkerhetsutbildare på Nikka Systems.

– Ja, tyvärr är det så att våra mänskliga hjärnor inte kan hålla reda på hur många lösenord som helst. Ska de dessutom vara långa och utstuderat starka blir det ännu svårare – framför allt om vi ska komma ihåg vilket lösenord som fungerar till vilken sajt eller tjänst.

Karl Emil Nikka syftar på att Lösenordsbytardagen uppstod i en tid då vi i högre utsträckning återanvände ett och samma lösenord till flera tjänster. Tjänsterna som slogs om vår uppmärksamhet var dessutom färre. Men när lösenorden väl läckte, antingen som en följd av slarviga användare eller ett regelrätt intrång, kunde skadan bli stor. Därför började många stora organisationer och företag införa tvingande lösenordsbyten utifrån ett fast schema, exempelvis var nittionde dag.

– Men hela det tänket är utdött nu. De flesta stora organisationer, som Microsoft och amerikanska Nist (National Institute of Standards and Technology, reds anm.) har börjat rekommendera motsatsen, alltså att vi slutar med periodiska lösenordsbyten, säger Karl Emil Nikka.

I stället bör vi använda starka, unika lösenord för varje tjänst, menar han, och sedan stå fast vid dem såvida det inte finns en risk att de läckt. Företag meddelar ofta när de utsatts för intrång och uppmanar användare att byta inloggningsuppgifter. Sedan finns sajter som Have I Been Pwned, som håller koll på lösenordsläckor associerade till din e-postadress.

Men vad är ett starkt lösenord? Enligt Karl Emil Nikka ska det gärna vara förhållandevis långt och kan exempelvis bestå av fyra slumpmässigt utvalda ord, helt orelaterade till varandra. Lösenstrunt, kallar han det. För att underlätta lösenordsförfarandet rekommenderar han en lösenordshanterare.

– Med en lösenordshanterare behöver du bara komma ihåg ett av alla starka lösenord. Resten lagras krypterade inuti lösenordshanterarens arkiv och behöver bara anges en gång – när du registrerar dem. Sedan fylls de i automatiskt på alla enheter där du låser upp lösenordshanterarens arkiv.

Trots att Karl Emil Nikka och it-säkerhetsbranschen i stort numer motsätter sig periodiska lösenordsbyten kommer de – alltså själva lösenorden – att finnas kvar under överskådlig framtid, menar han.

– Däremot jobbar Microsoft, Google och de andra med alternativ till traditionella lösenord. En utmaning just nu är att vi rentav har för många möjliga vägar framåt. Det blir snabbt rörigt om sajter och tjänster ska börja använda olika inloggningsmetoder. Webauthn är ett exempel på en global standard som nu fungerar i alla stora webbläsare. Tiden kommer att utvisa vilken metod som blir dominant framåt.

Vad är ditt viktigaste lösenordstips?
– Se till att ha starkast möjliga skydd för dina viktigaste tjänster. E-posten exempelvis, lyckas någon komma åt din mejlkorg är det schackmatt – den kan ju användas för att återställa lösenorden till andra tjänster. Långa, unika lösenord är bäst – och du ska alltså inte känna dig tvungen att byta ut dem när du är trygg med dem.

Sluta byt lösenord – gör så här i stället

Även om namnet "Lösenordsbytardagen" borde hamna på it-ordskyrkogården kan det vara bra att ta åtminstone en årlig genomgång av dina inloggningsrutiner. Byt ut uppenbart svaga lösenord som ligger kvar och skräpar, slå på tvåstegsverifiering och dubbelkolla att inget av dina lösenord läckt sedan sist!

Med en lösenordshanterare behöver du bara komma ihåg ett av dina krångliga, unika lösenord. Två populära alternativ är 1Password och Lastpass – fler hittar du i den här artikeln.

Långa lösenord beståendes av ord som inte har med varandra att göra är ett bra alterntiv. En bonus är att meningarna blir så knäppa att de är lätta att komma ihåg.
Exempelvis:
BävernApelsinPistolFixar
MikradMammutHälsarSolen
OrkideKrossarFrusenGitarr

Var uppmärksam på meddelanden från företag och tjänster om att ditt lösenord kan ha läckt ut vid ett intrång. Då har du all anledning i världen att byta det! Alternativt kan du själv hålla koll på en sajt som Have I Been Pwned och se vilka tjänster din e-postadress (och ditt lösenord) läckt ifrån.

Använd gärna tvåstegsverifiering där det är möjligt. Allt fler tjänster erbjuder detta och du hittar det vanligen under rubriken "säkerhet" i sajtens eller tjänstens inställningsmeny. Med det påslaget kan du exempelvis behöva ange en engångskod du får via sms när du vill logga in från en ny enhet.

Skippa regelbundna byten. Sitter du med stabila, icke-läckta lösenord finns ingen anledning att byta ut dem. Det stjäl tid och energi samtidigt som det är lätt att virra bort sig bland alla nya inloggningar.