Sund lösenordshantering i OS X

Det går nästan inte en vecka utan att det rapporteras om webbplatser som blivit hackade och lösenord som hamnat i fel händer. En av de allvarligaste och största incidenterna hittills hände härom dagen när en rysk hackare lade ut en lista på nästan 6,5 miljoner lösenord från populära LinkedIn.

Om du har ett konto hos LinkedIn är sannolikheten stor att du är drabbad. Det är en god idé att göra ett uppehåll i läsningen och besöka LinkedIn för att byta lösenord nu direkt.

Hur allvarligt konsekvenserna blir beror på om du har en sund lösenordshantering eller inte. Med några enkla grundregler, bra verktyg och lite disciplin går det att höja säkerheten och minska riskerna kraftigt. För hackarna kommer inte att sluta hacka, snarare tvärtom. (Inte ens ett dygn efter LinkedIn uppmanade Last.fm sina användare att byta lösenord på grund av misstänkt intrång.)

Sund lösenordshantering går att sammanfatta med fyra punkter:
1) Använd aldrig samma lösenord två gånger.
2) Använd en lösenordshanterare som 1Password, LastPass eller liknande för att generera och organisera lösenord.
3) Använd extra säkra lösenord för det viktigaste, så som e-post och lösenordshanteraren.
4) Om det finns tillgängligt, används tvåstegsverifiering för e-post.

I denna artikel tittar vi närmare på vad det innebär att lösenord läckt ut, vad sund lösenordshantering är och hur det går till rent praktiskt.

LinkedIn-listan och hashade lösenord

Lösenorden i listan från LinkedIn var inte skrivna i klartext utan "hashade". Det betyder att LinkedIn envägskrypterade lösenorden innan de lagrades i databasen. Detta är normal hanteringen eftersom lösenord aldrig ska lagras i klartext.

Det går inte att att ta reda på ett lösenord utifrån den hashade versionen (därav envägskryptering) men det går ändå att knäcka lösenorden genom rå kraft ("brute-force"), det vill säga genom att helt enkelt testa en enorm mängd lösenord tills ett hittas som skapar samma hash som i databasen. Ett modernt grafikkort kan testa miljarder lösenord per sekund. Ju kortare lösenord desto snabbare går det att knäcka. Tillräckligt långa lösenord är i praktiken oknäckbara genom rå kraft - än så länge.

Det är lika bra att förutsätta att den hackare som fått tillgång till en lista på hashade lösenord förr eller senare knäcker dom. (Det är överkurs för denna artikel, men det faktum att LinkedIn inte "saltat" hashningen av lösenord gör att de är lättare att knäcka.)

Det var enkelt för mig att personligen bekräfta att listan som lades ut på nätet verkligen innehöll riktiga lösenord. Jag testade mitt gamla lösenord för LinkedIn på leakedin.org som hashar det och jämför med de hashade lösenorden i listan. Mitt lösenord fanns med i listan. Eftersom jag använt ett unikt lösenord enbart för LinkedIn bekräftade detta att listan var äkta. (Använd inte en sajt som leakedin.org utan att först försäkra dig om att den går att lita på.)

Det fanns inte några användarnamn i den publicerade listan på lösenord, men det är högst troligt att hackaren som kom över lösenorden även har användarnamnen. I takt med att de hashade lösenorden knäcks kommer hackaren att få tillgång till fullständiga inloggningsuppgifter till LinkedIn. Det är här en sund lösenordshantering gör all skillnad i världen.

Unika lösenord begränsar skadan

Om en användare på LinkedIn använt ett unikt lösenord enbart för den webbplatsen är det värsta som kan hända att hackaren kan logga in på användarens konto och ställa till med oreda där. Det är ett problem i sig, men går enkelt att åtgärda genom att användaren snabbt byter lösenord hos LinkedIn. (Vi får förutsätta att hackaren inte längre har access till LinkedIns databas, om så vore fallet skulle hackaren förstås kunna knäcka det nya lösenordet också.)

Det stora problem, mycket värre än oreda på användarens LinkedIn-konto, är om denne använt samma lösenord på flera olika sajter. Vad hackare brukar göra när de kommer över användarnamn och lösenord är att testa det mot andra tjänster på nätet. Gmail, Twitter, Facebook, Amazon etc.

Allra allvarligaste är det om användaren använt samma lösenord för sin e-post eftersom e-posten ofta är dit nya lösenord skickas om man glömt bort sitt lösenord på en webbplats som Facebook och Twitter. Utöver det är det troligare att det finns personlig eller affärsmässigt känslig information på ett e-post-konto än på till exempel en webbplats som LinkedIn. Med tillgång till en användares e-post går det att ställa till med stor skada genom till exempel identitetsstöld.

De flesta är medvetna om att det är dumt att använda samma lösenord överallt, men många gör det ändå av det enkla skälet att det är hopplöst att försöka komma ihåg mer än en handfull uppsättning lösenord och PIN-koder i skallen. För att rent praktiskt uppfylla punkt nummer 1 för sund lösenordshantering behövs en lösenordshanterare.

Lösenordshanteraren 1Password

Den populäraste lösenordshanteraren för Mac heter 1Password men det finns ett flertal att välja på. LastPass är en annan som är populär och uppskattad bland användarna. I den här artikeln tittare vi närmare på 1Password.

Den viktigaste funktionen för en lösenordshanterare är att lagra lösenord säkert. Men nästan lika viktigt är att den integrerar väl med den dagliga datoranvändningen. Det ska vara smidigt att direkt i webbläsaren kunna fylla i lösenord till webbplatser och generera nya lösenord när det behövs.

1Password uppfyller dessa krav. Utöver det finns det många användbara funktioner, som att lagra kreditkortsinformation för att slippa skriva långa kreditkortsnummer vid köp på nätet.

1Password i huvuddrag:
- Lagrar lösenord på ett säkert sätt.
- Finns för Mac, iPhone/iPod touch, iPad, Windows och Android.
- Synkroniserar lösenord mellan datorer och mobila enheter via Dropbox.
- Integrerar väl med webbläsare för Mac.
- Kan generera säkra unika lösenord.
- Lagrar kontokortsinformation för enkel ifyllnad på webbsidor.
- Kan även lagra licensuppgifter för mjukvara och säkra anteckningar.
- Med 1Password-bokmärken kan inloggning ske med ett enda klick.

1Password redo att fylla i lösenord.

Med 1Password aktivt i webbläsaren kommer det upp en dialogruta som frågar om lösenordet ska sparas när inloggning på en webbplats sker. Nästa gång finns det det tillgängligt via knappen i verktygsfältet (och via högerklicksmenyn). När ett nytt lösenord ska skapas kan 1Password generera det och fylla i det. Genererade lösenord sparas även i 1Password.

Få hjälp att generera långa säkra lösenord.

Genom att placera 1Passwords nyckelring (den fil som innehåller alla lösenord, anteckningar mm) i Dropbox går det enkelt att synkronisera lösenord mellan Macar. Det går även att använda Dropbox för att synkronisera lösenord till mobila enheter. På så sätt går det att säkert ha med sig alla lösenord i fickan var man än går.

En annan bonus med Dropbox är att det automatiskt sker säkerhetskopiering löpande. Även om dator och telefon skulle försvinna i en olycklig händelse finns alla lösenord tryggt i förvar på annan plats.

De flesta webbläsare har egna funktioner för att spara lösenord. Om 1Password används bör funktionen att spara lösenord slås av, för att minska risken för förvirring över vilket lösenord som sparas var.

Det var huvuddragen för hur 1Password används. En närmare titt på de olika funktionerna i 1Password - som till exempel hur synkronisering via Dropbox går till - är material för en helt egen artikel.

Nyckelhanteraren i OS X

Det finns en enkel lösenordshantering inbyggt i OS X. De flesta som använder Mac har stött på begreppet nyckelring. Många program som lagrar lösenord, som till exempel Safari, använder sig av nyckelringen i OS X. Det finns ett program som heter Nyckelhanterare som visar vilka nyckelringar som finns på datorn och vilka lösenord som finns lagrade i dessa. Nyckelhanteraren kan även användas för att generera säkra lösenord.

Nyckelhanteraren saknar dock många av de smidiga funktionerna som att synka till iPhone/iPad, lagra och fylla i kontokortsinformation och möjligheten att kunna söka på lösenord. Det sistnämnda är en viktig funktion för att snabbt kolla om man använt ett lösenord mer än en gång.

Lite mera jobb, mycket säkrare

Även med en lösenordshanterare kommer det att vara mer arbete och fler steg att hålla reda på jämfört med att bara använda samma lösenord överallt. Det är ofrånkomligt för att få bättre säkerhet och det kan krävas lite extra disciplin i början för att alltid generera nya lösenord och använda lösenordshanteraren till att logga in.

Med tiden blir arbetssättet en normal del av datoranvändningen och förr eller senare kommer man till den punkten där man tackar sig själv för denna ansträngning. Som när nästa stora webbplats blir hackad.

Långa lösenord bättre än krångliga lösenord

Även med en lösenordshanterare behöver man ofta hålla några viktiga lösenord i huvudet, så man alltid kan logga in även om man inte sitter vid sin dator eller har sin telefon i närheten. Som minimum behöver man åtminstone hålla huvudlösenordet till lösenordshanteraren i huvudet. E-posten är också bra att kunna utantill. Dessa lösenord är ofta de som också behöver vara säkrast.

Många tänker sig att säkra lösenord är det samma som väldigt krångliga lösenord. Stora och små bokstäver, siffror, specialtecken mm. Men ett enkelt fast långt lösenord är oftast bättre än ett krångligt kortare lösenord. XKCD publicerade tidigare år en seriestripp som tydliggjorde hur enkla långa lösenord är bättre:

Tvåstegsverifiering i Gmail

Punkt nummer fyra för sund lösenordshantering handlar om tvåstegsverifiering för e-post. För den som har sin e-post hos Gmail eller i Google Apps finns möjligheten att aktivera tvåstegsverifiering. Det är en tjänst som borde erbjudas från fler leverantörer av e-post. För att aktivera tjänsten kopplas ett mobiltelefonnummer till Gmail-kontot.

I kontoinställningarna i Gmail kan tvåstegsverifiering aktiveras.

Tvåstegsverifiering innebär två förändringar när det är aktiverat:

1) För att logga in hos Gmail i webbläsaren krävs inte bara rätt lösenord, utan också att en sifferkod fylls i som leverats som SMS till mobiltelefonen.

2) För alla andra anslutningar till Gmail-kontot som inte har inbyggt stöd för tvåstegsverifiering måste nya unika lösenord genereras av Google. T.ex. för Mail, iCal och Adressboken i datorn och för motsvarande i telefon och iPad.

Genom verifiering via mobiltelefonen räcker det inte med att en hackare fått tillgång till ditt användarnamn och ditt lösenord. Den som ska logga in på ditt konto behöver även ha din mobiltelefon. På så sätt blir e-posten mycket säkrare. För att göra hanteringen smidigare går det att låta den aktuella webbläsaren komma ihåg tvåstegsverifieringen 30 dagar. All annan inloggning (från en annan webbläsare på samma dator eller en annan dator) kräver fortfarande kod via SMS.

Såhär ser kan det se ut när kod från mobilen krävs.

Ökad säkerhet betyder oftast ökat besvär och tvåstegsverifiering är inget undantag. Det går inte att komma runt det faktum att det är besvärligare. Att behöva byta ut alla andra lösenord till nya engångslösenord i program på datorn och i iPhone och iPad är drygt, men det sker åtminstone bara en gång. Att logga in med sifferkod var 30:e dag är överkomligt.

Nedan en video som presenterar tvåstegsverifiering:

Slutsats (tl;dr)

Genom att aldrig använda samma lösenord två gånger betyder hackade sajter och läckta lösenord ett mindre besvär snarare än en stor säkerhetsrisk. Med lösenordshanterare går det att hitta ett smidigt arbetssätt för att fylla i och generera unika lösenord för varje webbplats och tjänst. Samtidigt som det bara är några få viktiga lösenord som ska läras utantill.

Avslutningsvis går det inte att nog understryka hur viktigt bra lösenord är. Ingen lösenordshanterare är säkrare än det lösenord man använder för att skydda den. Det finns tyvärr alldeles för många där ute som fortfarande använder 12345 som lösenord trots att bara en idiot skulle ha det på sin resväska.