Vad är ett starkt lösenord?

Mattias Sjödin IT-Säkerhet

I massvis med sammanhang blir du ombedd att välja ett starkt lösenord och här och där på exempelvis webbplatser finns det indikatorer på hur starkt lösenord du valt. Så vad menas då med ett starkt lösenord? Tja, frågan har ställts (och besvarats) i otal artiklar och bloggposter men är lika lätt att besvara som ”Hur långt är ett snöre?”.

Det finns i praktiken ingen gemensam fast definierad gräns mellan när ett lösenord är svagt och när det är starkt. Det går att mäta styrkan på ett lösenord, men även sådana mätvärden baseras på en underliggande algoritm som baseras på tyckanden.

Varför är det viktigt?

Anledningen till varför du vill ha ett lösenord som anses starkt är för att ingen ska kunna gissa eller kunna prova sig till lösenordet. En person som vill testa kommer att ta reda på namn i familjen och börja där tillsammans med de i övrigt vanligaste förekommande lösenorden. Men där finns en naturlig begränsning, om lösenordet inte är ett av de vanligaste och inte är ditt eget namn, namn på familjemedlemmar eller husdjur så blir det svårare för en utomstående.

En maskin däremot är avgjort mer uppfinningsrik. Dels har programvaran för att knäcka lösenord (sk. Brute-Force) tillgång till ordlistor med vanliga lösenord globalt såväl som i ditt språk. Fungerar inte det bryter programvaran vidare utifrån algoritmer som börjar enkelt och gör jobbet mer och mer invecklat. Till dess att lösenordet är knäckt.

Naturligtvis kan inte en maskin knäcka lösenord ”live” hur som helst idag. De allra flesta katalogtjänster och system har funktioner för att stoppa Brute-Force attacker genom att t. ex. begränsa antalet inloggningsförsök under en viss tid. Men om angriparen har tillgång till ditt lösenord i krypterad form är det då bara angriparens datorkraft som sätter gränsen.

Vedertagna lägstanivåer för lösenord

Som sagt så finns det inte en gemensam standard som säger hur ett starkt lösenord ska vara uppbyggt, men väl en summa av vad många ramverk och best practices anser.

Ett starkt lösenord ska:

  • Bestå av minst 8 tecken.
  • Innehålla minst en gemen.
  • Innehålla minst en VERSAL.
  • Innehålla minst en siffra.
  • Innehålla minst ett symboltecken (! ? , . % # osv.).

Följer du dessa enkla riktlinjer får du ett lösenord som tar flera år längre att knäcka än ett simpelt. Faktum är att det finns många olika ställen där du kan testa ett lösenord för att se hur bra eller dåligt det är. Ett exempel är The Password Meter som mycket tydligt visar komplexiteten i lösenordet. Ett annat är Password Strength Meter från my1login.

En varning är på sin plats: Det finns en hel del lösenordstestare på webben vars syfte framför allt är att lura av dig ditt lösenord. Testa aldrig det lösenord som du faktiskt använder, har använt eller tänker använda. Betrakta ett testat lösenord som bränt.

Läs vidare: Jämförelser mellan bra och dåliga lösenord

Mattias Sjödin

Jag arbetar som konsult, främst inom Informations- och IT-säkerhet där jag hjälper företag och organisationer med det mesta inom området. Jag har haft olika befattningar inom IT-branchen, bland annat som CISO inom ett större multinationellt företag speciliserat inom IT-infrastruktur och IT-tjänster så som outsourcing. Naturligtvis har jag bevisad kompetens och erfarenhet i ryggen genom CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.