Välj lösenords-stil själv: k0mPl1c3rat eller gurka cykel ostron hatt

Jonas Söderström

Johan skrev om krångliga lösenord härom veckan. På Stanford har man tagit ett intressant nytt grepp: flexibla lösenord.

Om du vill ha ett kort lösenord, måste det vara krångligt: det måste ha versaler och gemener, siffror och skiljetecken. Men ju längre du gör ditt lösenord, desto färre blir kraven. Är det över 20 tecken, godkänns även lösenord med bara gemener.

instruktioner för lösenord på stanford

På det viset kan man använda en modell för lösenord, som gjordes populär av xkcd: använd fyra enkla osammanhängande ord, som "batteri häst häftklammer korrekt". De är både lättare att memorera och svårare att knäcka än de flesta alternativ folk brukar använda.

kkcd tipsar om lösenordSom xkcd konstaterade: "Through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess."

Men, frågan är om ens xkcd-modellen - Stanfords långa variant – är säker längre.

Säkerhetsgurun Bruce Schneier menar i ett inlägg på boingboing, att "the password crackers are on to this trick". Med en kombination av rå beräkningskraft och att finkamma uppgifter om personen för att hita ledtrådar, blir det allt enklare att knäcka även dessa kombinationer, menar Schneier:

"Last year, Ars Technica gave three experts a 16,000-entry encrypted password file, and asked them to break as many as possible. The winner got 90% of them, the loser 62% - in a few hours. It's the same sort of thing we saw in 2012, 2007, and earlier. If there's any new news, it's that this kind of thing is getting easier faster than people think."
Så vad kan man göra? Schneier rekommenderar lösenord byggda på initialbokstäver i en mening bara du kan:

WIw7,mstmsritt. = When I was seven, my sister threw my stuffed rabbit in the toilet.

Den belastning som lösenordssystem skapar för användarna beror ju inte bara på lösenordens längd, utan också hur ofta de måste bytas, hur strikta reglerna för ett nytt lösenord (som "det nya får inte innehålla några tecken som fanns i det förra"), hur snabbt man blir utloggad vid inaktivitet, hur lätt eller svårt det är att få ett nytt och så vidare. Mer om det i ett kommande inlägg!

Lämna en kommentar

2 kommentarer

  • Nikke Lindqvist

    Menar du att det finns system som är så ondsinta att inte ett enda tecken får vara lika? Jag gissar att det resulterar i mängder av postit-lappar med lösenord maskerade till annat.

  • Anhörigvårdare

    Hej, jag har länge funderat på detta, mitt tips är att ta ett lösord generat av en lösendordsgenerator och ändra på slutet vid uppdatering.