Kontrollera ett lösenord här

Ditt lösenord har hittats i en eller flera läckta databaser och bör bytas ut.
Läs mer
Rekommenderad lösenordshantering

Ditt lösenord har inte hittats i någon databas.
Läs mer
Rekommenderad lösenordshantering



vattenläcka vattenläcka

Mitt lösenord har läckt!

Det första du bör göra är att byta lösenordet på de tjänster där du använder det mot nya och unika lösenord. Nästa steg är att läsa och följa rekommenderad lösenordshantering för att vara fortsatt säker på internet.

skyddsutrustning skyddsutrustning

Är jag säker?

Även om ditt lösenord inte hittats i någon läcka betyder det inte nödvändigtvis att det är säkert. Det kan ta tid innan en databas som läckts blir tillgänglig. Det finns också läckor som aldrig blir tillgängliga och därför är omöjliga att kontrollera mot. Se därför till att alltid följa rekommenderad lösenordshantering för att minska risken.

vattendroppe vattendroppe

Syftet med sidan

Att uppmärksamma om riskerna med dåliga lösenordsvanor samt tillhandahålla uppdaterad information om bra lösenordshantering. De allra flesta finns med i en eller flera läckor på nätet, ofta utan att veta om det. Genom att följa rekommenderad lösenordshantering blir du mer säker på internet. Något som idag är enklare än att fortsätta med de dåliga lösenordsvanor många har.

handskakning handskakning

Kan jag lita på sidan?

Det är bra att vara skeptisk! Det är aldrig rekommenderat att skriva in dina lösenord på sidor du inte litar på. Med det sagt så lämnar aldrig lösenordet din webbläsare, enbart en liten del av en kryptografisk representation skickas. Denna kryptografiska representation är omöjlig att använda för att få fram ditt lösenord. För mer tekniska detaljer klicka här. Väljer du att inte prova testet ovan är det fortfarande viktigt att följa rekommenderad lösenordshantering.




Rekommenderad lösenordshantering


Lösenordshanterare

Ett av de bästa sätten att öka din säkerhet på internet är att ha unika lösenord till alla konton. Det gör att om ett av lösenorden läcks, är alla andra konton fortfarande säkra och det är väldigt enkelt att bara byta ut ett lösenord. Det kan dock vara svårt att minnas alla dessa lösenord. Därför är en lösenordshanterare väldigt bra. Det gör att du enbart behöver minnas ett enda långt och bra lösenord, resten håller lösenordshanteraren koll på åt dig. De flesta lösenordshanterare har tillägg för webbläsare som Firefox och Chrome (med flera), dessa tillägg kan fylla i dina inloggningsdetaljer automatiskt och du behöver bara klicka på logga in. Det finns även appar till iOS och Android som gör automatisk inloggning väldigt snabbt och sömlöst (exempelvideo).


Långa och unika lösenord

Det är viktigt med långa och unika lösenord. Längden är helt avgörande för om någon kan (inom rimlig tid) knäcka ditt lösenord. Ju längre desto bättre. Att lösenorden är unika överallt är viktigt då det ser till att om en sida du använder har ett dataintrång, så är alla dina andra konton fortfarande säkra. Det blir även väldigt smidigt att bara behöva byta lösenordet på ett ställe och inte på alla tjänster du använder. Om du ser till att använda tipset om lösenordshanterare blir detta väldigt enkelt. Lösenordshanteraren kan nämligen generera och hålla koll på alla dina lösenord åt dig. Du behöver bara skapa och minnas ett enda lösenord själv. Men se till att det är bra!


Skapa ett bra lösenord

Ett bra lösenord är egentligen inte ett ord, det är en fras (lösenordsfras). Det är för att lösenord måste vara långa för att vara säkra, ett lösenord på 8 tecken kan knäckas ganska fort med dagens hårdvara (och det blir bara snabbare). Med hjälp av en lösenordsfras blir det lättare att minnas det långa lösenordet. StoraKanoterSpringandesUnderMyrstacken är exempelvis ganska lätt att komma ihåg trots att det är långt.

Tips för att skapa säkra lösenord
  • - Långa lösenord för högre säkerhet
    • Ju längre lösenord, ju längre tid tar det att knäcka det.
  • - Lösenordsfras för att minnas lättare
    • Undvik välkända citat. Hitta på något helt eget, gärna med påhittade ord.
  • - Stor teckenvariation
    • Blanda små och stora bokstäver samt siffror och specialtecken.
  • - Olika lösenord till alla tjänster du använder
    • Lättast genom att använda en lösenordshanterare som håller koll på alla lösenord åt dig.
Att undvika för att skapa säkra lösenord
  • - Undvik saker som kan kopplas till dig via sociala medier eller din livshistoria
    • Exempelvis namn på barn/husdjur, bröllopsdag, stad du bor i/kommer ifrån, favoritresmål eller födelsedatum.
  • - Undvik vanliga ord
    • Hitta gärna på låtsasord som inte finns i någon ordbok.
  • - Undvik tecken i följd på tangentbordet
    • Exempelvis qwerty eller asdfgh123456.
  • - Lämna aldrig ut dina lösenord till någon
    • Speciellt inte någon som ringer och utger sig för att representera din bank eller liknande. Delar du lösenord med någon du känner, undvik då att skicka det över SMS eller e-post. Dessa protokoll är inte säkra och det är trivialt för en tredje part att avlyssna.

Tvåfaktorinloggning

Utöver bättre lösenordshantering finns det hos många tjänster möjlighet till tvåfaktorinloggning. Det innebär att det även krävs en sorts engångskod som skickas via SMS, e-post eller som genereras i en app på telefonen. Det innebär att om någon kommer över ditt lösenord måste de också få tag i engångskoden innan de kommer åt ditt konto. SMS bör dock undvikas framför de andra alternativen då SMS är ett väldigt osäkert sätt att hantera kommunikation (då någon lätt kan avlyssna SMS).


Koll på läckorna

Genom att använda en tjänst som Firefox Monitor eller Haveibeenpwned kan du få reda på om din e-postadress dyker upp i framtida databasläckor. Tjänsterna håller koll på huruvida din e-postadress finns med i de läckor som blir tillgängliga och meddelar dig om du finns med. Då kan du snabbt agera genom att exempelvis byta lösenordet. Dessa tjänster är helt gratis och Firefox Monitor drivs av företaget Mozilla som länge jobbat med privacy-frågor och för ett säkrare internet. Bland annat genom att i deras webbläsare Firefox, automatiskt blockera spårningsteknik som annars kartlägger dig överallt på internet.



Vanliga frågor


Kan jag inte bara skapa ett riktigt bra lösenord och använda det överallt?

Nej, även om de flesta stora sidor som Google, Facebook och din bank har hög säkerhet så kanske inte den bloggplattform du skapat ett konto på för att kommentera någons blogginlägg har lika hög säkerhet, eller kanske din lokala hyresgästförening. Men även storföretag som Facebook och LinkedIn gör misstag ibland vilket kan leda till att dina lösenord läcks även från dem. Därför är det viktigt att alltid använda unika lösenord överallt.


Vad innebär en läckt databas?

En läckt databas innebär att en databas, ofta hos ett företag eller en tjänst du är kund hos (men kan även vara data delat av ett företag/tjänst du är kund hos till en tredje part), innehållande privat information som namn, e-postadress och lösenord (Men kan även vara data som bilder och filer, exempelvis hos en molntjänst) blivit publikt. Detta sker ofta genom att företaget/tjänsten blivit utsatt för attack som utnyttjat sårbarheter hos företaget/tjänsten. Det kan dock också vara felkonfigurationer som gör att all data är publik och hittats av någon. Databasen kan då läckas eller säljas av personen som kommit över den, vilket gör att vi får reda på att det hänt. Det händer dock att databaserna aldrig säljs/läcks och vi får därför inte reda på det. Därför är det alltid viktigt att följa rekommenderad lösenordshantering.



Tekniska detaljer


Lösenord

När du skriver in ett lösenord ovan beräknas en kryptografisk representation fram (även kallad hash). Denna hash är en unik representation av det lösenord du angett utan att avslöja vad lösenordet är. Därefter tas enbart de fem första (av 40) tecknen ur hashen och skickas till en API server. Denna server svarar med alla hash värden som börjar på samma fem tecken som du skickat till den. Därefter jämförs din hash lokalt i din webbläsare mot de hash värden som servern svarade med. Finns ditt framräknade hashvärde i svaret är det bekräftat att lösenordet dykt upp i en databasläcka. Om din hash inte har en motsvarighet i svaret från servern har lösenordet inte läckts (Lösenordet kan fortfarande ha läckts utan att finnas med i databasen. Följ alltid rekommenderad lösenordshantering för att förbättra din säkerhet på internet.). Denna modell kallas för k-anonymity och håller lösenordet hemligt genom hela processen då det aldrig lämnar din dator. Servern vet inte vad ditt lösenord är då den inte vet om resterande del av hashen finns med i svaret eller inte då det aldrig lämnar din dator.

API server

Servern som används för att kontrollera om lösenordet har läckt eller inte drivs av den australiensiska säkerhetsanalytikern Troy Hunt. Tjänsten kallas för Haveibeenpwned.com och erbjuder ett flertal verktyg kring databasläckor. Bland annat kan du söka efter din e-postadress och få svar om (och var) den hittats i en databasläcka samt få e-postmeddelanden skickat till dig om din e-postadress upptäcks i en framtida databasläcka. Hunt samlar in databaser som läcks på internet till en central tjänst för att möjliggöra enkla men omfattande sökningar kring läckt användardata. Detta kan hjälpa dig att få reda på en databasläcka i god tid och agera genom att exempelvis byta lösenord på tjänsten.



Kontakt

Har du frågor, funderingar eller synpunkter?
Skicka ett mail till [email protected]
Tänk på att aldrig skicka lösenord eller annan känslig information via e-post!



Lösenordsdatabas tillhandahållen av säkerhetsanalytikern Troy Hunt via haveibeenpwned.com
Källa MSB, Firefox Monitor
Bilder delvis skapade av srip och Freepik från flaticon.com (CC 3.0 BY)
Skapad av Ludwig Johnson