Lösenordsmagasin

Entropi beskriver hur svårt ett lösenord är att förutsäga. Det handlar inte om pyntad komplexitet, utan om verkligt sökutrymme.

Lösenord och lösenfraser kan båda vara säkra. Skillnaden ligger främst i längd, slumpmässighet och praktisk minnesbarhet.

Lösenordslängden är en av de starkaste spakarna för säkerhet. För viktiga konton är 16 tecken eller mer en bra standard.

En lösenordsgenerator skapar slumpmässiga strängar eller lösenordsfraser som är mycket svårare att gissa än manuellt upptänkta lösenord.

Bra regler skyddar användare utan att pressa dem mot osäkra workaround-lösningar.

Osäkra lösenord kan ofta identifieras genom förutsägbara mönster, återanvändning och ett försök att uppfylla minimiregler med så liten ansträngning som möjligt.

Bra lösenordsexempel visar inte exakta kopiamallar, utan snarare skillnaderna mellan svaga mönster, användbara lösenord och starka, slumpmässiga varianter.

De dyraste misstagen är nästan alltid desamma: återanvändning, förutsägbara mönster och för korta lösenord.

Specialtecken kan hjälpa, men är inte kärnan i lösenordssäkerhet. Längd och slumpmässighet är nästan alltid de starkare spakarna.

Ett starkt lösenord är långt, unikt och tillräckligt slumpmässigt för att inte kunna gissas eller återanvändas efter en läcka.

Lösenordshanterare är inte riskfria, men de är betydligt säkrare för de flesta användare än återanvändning, webbläsarkaos och manuellt hanterade lösenordslistor.

Ett huvudlösenord skyddar hela valvet. Därför bör det vara längre, mer unikt och valt mer noggrant än vanliga inloggningslösenord.

Webbläsarlagring är bekvämt, men det motsvarar inte alltid en dedikerad lösenordshanterare med tydlig säkerhetsarkitektur och bättre hantering.

En lösenordshanterare lagrar, organiserar och genererar autentiseringsuppgifter så att varje konto kan ha sitt eget starka lösenord.

Lösenord bör inte hamna i anteckningar, webbläsartextfiler eller återanvända mönster. Det säkraste sättet är ren administration med en lösenordshanterare.

Båda är inloggningsattacker, men den ena testar många lösenord mot ett konto medan den andra testar få lösenord mot många konton.

Credential stuffing innebär att läckta inloggningsuppgifter testas automatiskt mot många andra tjänster.

Lösenordsåteranvändning är en av de största skademultiplikatorerna. Annars kan en enda läcka omedelbart äventyra flera konton samtidigt.

En läckagekontroll visar om ett lösenord eller tillhörande data har förekommit i kända databaser med komprometterade autentiseringsuppgifter.

Om ett lösenord har läckt ut spelar hastigheten roll: byt lösenord, kontrollera återanvändning, avsluta aktiva sessioner och aktivera MFA.

Alla konton är inte lika känsliga, men unika och starka lösenord är grunden överallt.

Företag behöver inte absurda regler, utan bra vanor, MFA och tydliga processer.

Passkeys minskar beroendet av det klassiska lösenordet, men ersätter inte alla lösenord över en natt.

MFA ersätter inte bra lösenord. Det minskar inloggningsrisken, men svaga eller återanvända lösenord förblir en attackvektor.

Lösenord ska inte bytas på rutin utan anledning. Det viktiga är att byta efter konkreta risker, läckor eller svaga gamla lösenord.

Om en tjänst kan dekryptera ditt lösenord finns det goda skäl att ifrågasätta hur säkert systemet verkligen är.

Argon2, bcrypt och scrypt är lösenordshasningsmetoder med olika styrkor. Moderna system förlitar sig ofta på Argon2 om miljön stödjer det ordentligt.

Salt och pepper är extra skyddslager som gör massattacker betydligt svårare.

För lösenord är hashning rätt väg, eftersom servern inte ska kunna få fram det ursprungliga lösenordet.

Välbyggda tjänster lagrar inte lösenord i klartext utan använder modern hashning och extra skydd.