Du har tänkt på allt. Du har sett till så att det bara är du som är administratör på pc:n hemma. Dessutom har du ett riktigt finurligt lösenord för att logga in. Inget slarv här, alltså.

Men om du tror att du är säker, är det dags att tänka om. Ett enkelt program är allt som behövs för att vem som helst ska kunna lirka upp ditt skydd och ta över din dator.

Dagens kraftfulla datorer har enorma möjligheter att knäcka lösenord, oavsett om det gäller att komma åt inloggningar eller lösenordsskyddade filer och mappar.

I exemplet ovan krävs faktiskt inte ens att den illasinnade personen utnyttjar ett säkerhetshål eller använder sig av särskilt avancerade program.

Antalet verktyg för att knäcka lösenord av olika slag är otaliga. Och de allra flesta riktar in sig på att knäcka exempelvis krypterade Office-filer, zip-filer eller pdf:er.

När Microsoft lanserade sitt kontorspaket Office 97 byggde de in en 40 bitars kryptering för att förhindra att hackare skulle kunna knäcka skyddade dokument. Det ansågs då som väldigt säkert.

I dag, mindre än tio år efter den lanseringen, tar det bara någon minut att med en hyfsat snabb dator och något av nätets lättillgängliga lösenordsknäckarprogram forcera ditt skydd. Så illa är det.

Med nyare program har visserligen skydden blivit allt bättre och krypteringen allt mer kraftfull, men att i dag använda lösenord är långt ifrån ett fullgott skydd om du verkligen vill hålla dina filer eller din dator skyddad från nyfikna ögon.

– Det finns en enkel regel. Om någon får tag på din lösenordsskyddade fil är det bara en tidsfråga innan personen kommer åt dina data, konstaterar Magnus Lindkvist som är säkerhetsexpert på Microsoft i Sverige.

Det faktum att det i de allra flesta fall inte är några som helst problem att ladda ned program som är specialskrivna för att knäcka olika filtyper är kanske ingen nyhet för den som arbetar med it-säkerhet, men som det ser ut i dag skulle vi lite hårddraget kunna säga att lösenord inte ger något annat än en falsk trygghetskänsla. I de allra flesta fall.

Hur hackaren tar sig in
För att bryta igenom ditt skydd finns flera olika vägar för en hackare. Den allra vanligaste är via en så kallad brute force-attack.

Med hjälp av olika program försöker hackaren lista ut vilket lösenord du använder dig av utan att på något sätt ta sig in i programmets kod eller utnyttja säkerhetsbrister i programmet.

Det mest grundläggande sättet är helt enkelt att testa alla upptänkliga kombinationer av tecken genom att börja med a, därefter ab, abc och så vidare tills ditt lösenord är avslöjat. Om du använder längre lösenord och blanda både siffror och bokstäver blir det så klart svårare att gissa sig till lösenordet, men med dagens datorkraft hinner ett program pröva många olika kombinationer på kort tid.

Ordboksattack rena finliret
Den andra brute force-metoden är att gissa sig till ett lösenord med en ordboksattack.

I det här fallet använder sig hackaren av en ofta nedladdad ordbok med hundratusentals ord som testas mot lösenordet i olika kombinationer.

Ordboken är ofta på engelska.

– När det gäller ordboksattacker kan det faktiskt ofta vara en fördel att använda sig av ett svenskt lösenord. Det är ganska ovanligt att hackarnas ordböcker innehåller svenska ord, berättar Magnus Lindkvist.

Ett tredje och mer ovanligt sätt att använda sig av brute force är att faktiskt ta reda på fakta om personen vars lösenord ska avslöjas.

Det är mycket vanligt att namnet på familjens hund, barn eller maken används som lösenord och genom grundläggande efterforskningar om personen kan många lösenord avslöjas.

Men det är inte bara via brute force som dina lösenord kan forceras. Ofta används säkerhetshål i program som en väg in för att hitta lösenord. En hel del äldre program har till exempel inte tillräckligt god säkerhet och kan relativt enkelt plockas isär för att sedan tömmas på lösenord.

Spioner ser när du skriver in det
Ett annat mycket vanligt sätt är att illasinnande personer faktiskt får reda på ditt lösenord när du själv skriver in det. Trojaner och virus är ofta utrustade med så kallade keyloggers, små program som i hemlighet övervakar allt du skriver och skickar vidare den informationen till hackare.

– Här vill jag också varna för att många program som utger sig för att vara lösenordsknäckarprogram i själva verket är program för att stjäla lösenord, säger Magnus Lindkvist.

Med så många olika sätt att bryta sig in hos människor är det knappast förvånande att flera säkerhetsföretag nu varnar för att lösenord vaggar in dig som användare i en falsk säkerhet.

”Smarta” skydd allt vanligare
Men när Magnus Lindkvist blickar framåt mot morgondagens säkerhet följer lösenorden motvilligt med.

– Lösenord är egentligen av ondo. De är svåra att komma ihåg och i dag måste vi hantera många olika lösenord.

Trots det tror Magnus Lindkvist att vi kommer att få dras med lösenord även i framtiden.

– De hänger med som kackerlackor, även om vi ser att tvåfakto-autentisering blir allt vanligare. Det innebär att jag till exempel har ett smart kort och en tillhörande pin-kod för att komma in genom en dörr, säger han.

Trots att det finns stora brister i lösenordssäkerhet är det givetvis inte alla som använder sig av program för att forcera dina skydd, eller nyttjar säkerhetshål för att kunna smygkika på dina låsta zip-filer.

Mot de allra flesta finns därför fortfarande en poäng i att sätta ett enkelt skydd på material du anser är känsligt – så länge du är medveten om riskerna.



Så lätt hackas inloggningen i Windows XP – det tar bara 2 minuter

Även om du är administratör på hemmadatorn kan du inte vara säker på att det faktiskt är du som bestämmer vad som installeras och inte på din dator. För läskigt nog tar det bara ett par minuter att knäcka din inloggning med programmet ERD Commander. Så här går det till!


1. Porten är stängd. Hackaren kommer inte in i Windows då lösenordet inte är känt.


2. Datorn startas om med ett knäckprogram i cd-läsaren. Datorn är inställd att starta från cd-skiva.


3. Via programmet väljer hackaren vilken hårddisk Windows ligger på och trycker därefter på OK.


4. Via ett gränssnitt byter ut hackaren ut alla lösenord mot egna, och får full tillgång till din dator.

… och så här skyddar du dig
Ett enkelt sätt att skydda dig mot att någon använder ett lösenordsknäckarprogram på din dator är att sätta ett lösenord på datorns bios. I bios ställer du in att datorn inte ska gå att boota upp på annat sätt än via din vanliga inloggning.

Det enda sättet för hackaren att då komma åt dina lösenord är att skruva loss hårddisken och montera in den i en ny dator och därifrån köra programmet igen. Men även här finns det motmedel. Se till att du krypterar din hårddisk så att ingen obehörig kommer åt dina filer. Då är du relativt säker även om din dator blir stulen. Kryptering av filer och mappar är möjligt i Windows XP och Vista.



Pdf, zip-fil eller lösenord – så enkelt kan de hackas


1. Hackaren startar programmet för att knäcka lösenord.


2. Nu väljer hackaren attacktypen Brute Force.


3. Sedan letar han fram den zip-, rar- eller arj-fil han vill knäcka.


4. Avslutningsvis klickar han på Start! och låter programmet göra resten.


5. Inom några sekunder bör lösenordet vara knäckt och hackaren kan välja att spara det.

 

Fakta

  1. Ha aldrig samma lösenord på två olika platser. Tappar du det för en inloggning kan elaksinnade personer även komma åt andra platser där du har samma lösenord.
  2. Byt lösenord ofta – helst varje månad, men åtminstone en gång per kvartal.
  3. Ha bestämda tider för när lösenord ska bytas, exempelvis på nyårsdagen, födelsedagen, namnsdagen och barnets födelsedag. Det blir lättare att komma ihåg att byta om du har fasta tider för det.
  4. Ha alltid ett minst åtta tecken långt lösenord och blanda tecken, siffror och alfanumeriska symboler.
  5. Använd lösenordsfraser i stället för kortare slumpmässigt utvalda ord.
  6. Skriv ned alla dina lösenord och förvara dem på en säker plats som inte andra kan komma åt.
  7. Använd svenska tecken i ditt lösenord. Få ordboksattacker har svenska tecken i sina databaser.
  8. Logga aldrig in på mejl, chattprogram eller liknande på främmande datorer. Du vet inte vilka spionprogram som finns installerade på den okända datorn.
  9. Lämna aldrig ut ditt lösenord – oavsett vem som frågar. Inget seriöst företag frågar någonsin efter ditt lösenord. Anta därför att alla som frågar efter ditt lösenord gör det med onda avsikter.
  10. Se inte lösenord som ett fullgott skydd utan som ett komplement till andra skydd. Kryptering av din hårddisk och din vpn-anslutning för skick av viktigt material bör också användas.