Digital säkerhet

Och är det verkligen rätt fråga att ställa? Här är vad du mer bör tänka på när det gäller att hålla dina konton säkra.

April 03 2024
 • 
,
5 min. läsa

Mycket har gjorts under de senaste åren om den växande potentialen i lösenordsfri autentisering och lösenord. Tack vare att smartphone-baserad ansiktsigenkänning är nära överallt kan du logga in på dina favoritappar eller andra tjänster genom att titta på din enhet (eller någon annan metod för att biometrisk autentisering, för den delen) är nu en uppfriskande enkel och säker verklighet för många. Men det är fortfarande inte normen, särskilt i skrivbordsvärlden, med många av oss som fortfarande förlitar sig på bra gamla lösenord.

Det är här utmaningen ligger – för lösenord förbli ett stort mål för bedragare och andra hotaktörer. Så hur ofta bör vi ändra dessa referenser för att hålla dem säkra? Att svara på den här frågan kan vara svårare än du tror.

Varför lösenordsändringar kanske inte är vettigt

Tills för inte så länge sedan rekommenderades det att regelbundet rotera lösenord för att minska risken för hemlig stöld eller sprickbildning av cyberbrottslingar. Den mottagna visdomen var någonstans mellan 30 och 90 dagar.

Men de tider de förändras och forskning tyder på att frekventa lösenordsbyten, särskilt på ett fastställt schema, kanske inte nödvändigtvis förbättra kontosäkerheten. Med andra ord, det finns inget entydigt svar på när du ska ändra ditt eller dina lösenord. Dessutom har många av oss för många onlinekonton för att bekvämt kunna hålla reda på, än mindre komma med (starka och unika) lösenord för vart och ett av dem med några månaders mellanrum. Dessutom lever vi nu i en värld av lösenordshanterare och tvåfaktorsautentisering (2FA) nästan överallt.

Det förra innebär att det är lättare att lagra och återkalla långa, starka och unika lösenord för varje konto. Den senare lägger till ett ganska sömlöst extra lager av säkerhet på lösenordsinloggningsprocessen. Några lösenordshanterare har nu mörk webbövervakning inbyggd för att automatiskt flagga när referenser kan ha brutits och cirkulerat på underjordiska webbplatser.

Det finns i alla fall några övertygande skäl till varför säkerhetsexperter och globalt respekterade myndigheter, som US National Institute of Standards and Technology (NIST) och Storbritanniens National Cyber ​​Security Center (NCSC), inte rekommenderar att människor tvingas ändra sig. deras lösenord varannan månad om inte vissa kriterier har uppfyllts.

Motiveringen är ganska enkel:

• Enligt NIST: "Användare tenderar att välja svagare memorerade hemligheter när de vet att de kommer att behöva ändra dem inom en snar framtid".
• "När dessa ändringar inträffar väljer de ofta en hemlighet som liknar deras gamla memorerade hemlighet genom att tillämpa en uppsättning vanliga transformationer som att öka ett nummer i lösenordet." NIST fortsätter.
• Denna praxis ger en falsk känsla av säkerhet eftersom om ett tidigare lösenord har äventyrats och du inte ersätter det med ett starkt och unikt, kan angriparna lätt kunna knäcka det igen.
• Nya lösenord, särskilt om de skapas med några månaders mellanrum, är också mer benägna att skrivas ner och/eller glömmas bort, enligt NCSC.

"Det är ett av dessa kontraintuitiva säkerhetsscenarier; ju oftare användare tvingas byta lösenord, desto större är den övergripande sårbarheten för attacker. Det som verkade vara ett fullt förnuftigt, sedan länge etablerat råd håller, visar det sig, inte en rigorös analys av hela systemet, säger NCSC. hävdar.

"NCSC rekommenderar nu organisationer att inte tvinga regelbundet lösenordsutgång. Vi tror att detta minskar sårbarheterna i samband med lösenord som löper ut regelbundet samtidigt som det gör lite för att öka risken för långvarigt lösenordsexploatering.”

När du ska ändra ditt lösenord

Det finns dock flera scenarier som kräver ett lösenordsbyte, särskilt för dina viktigaste konton. Dessa inkluderar:

• Ditt lösenord har varit fast i ett dataintrång från tredje part. Du kommer sannolikt att informeras om detta av leverantören själva, eller så kanske du har gjort det registrerat sig för sådana varningar på tjänster som Have I Been Pwned, eller så kanske du blir meddelad av din lösenordshanterare som kör automatiserade kontroller på den mörka webben.
• Ditt lösenord är svag och lätt att gissa eller spricka (dvs den kan ha förekommit på en lista över vanligaste lösenorden). Hackare kan använda verktyg att prova vanliga lösenord på flera konton i hopp om att ett av dem fungerar – och oftare än inte lyckas de.
• Du har återanvänt lösenordet på flera konton. Om något av dessa konton brytes kan hotaktörer använda automatiserade "legitimationsfyllning" programvara för att öppna ditt konto på andra webbplatser/appar.
• Du har precis lärt dig, till exempel tack vare din nya säkerhetsprogramvara, att din enhet äventyrades av skadlig programvara.
• Du har delat ditt lösenord med en annan person.
• Du har precis tagit bort personer från ett delat konto (t.ex. tidigare huskamrater).
• Du har loggat in på en offentlig dator (t.ex. i ett bibliotek) eller på en annan persons enhet/dator.

Råd om bästa lösenord

Tänk på följande för att minimera risken för kontoövertagande:

• Använd alltid starka, långa och unika lösenord.
• Lagra ovanstående i en lösenordshanterare som kommer att ha en enda huvudreferens att komma åt och automatiskt kan återkalla alla dina lösenord till vilken webbplats eller app som helst.
• Håll ett öga på varningar om brutna lösenord och vidta omedelbara åtgärder efter att du fått dem.
• Slå på 2FA när det är tillgängligt för att ge ditt konto ett extra lager av säkerhet.
• Tänk aktivera lösenord när det erbjuds för sömlös säker åtkomst till dina konton med din telefon.
• Överväg regelbundna lösenordsrevisioner: granska lösenorden för alla dina konton och se till att de inte är duplicerade eller lätta att gissa. Ändra alla som är svaga eller upprepade, eller de som kan innehålla personlig information som födelsedagar eller husdjur.
• Spara inte dina lösenord i webbläsaren, även om det verkar vara en bra idé. Det beror på att webbläsare är ett populärt mål för hotaktörer, som kan använda skadlig programvara som stjäl information för att fånga dina lösenord. Det skulle också exponera dina sparade lösenord för alla andra som använder din enhet/dator.

Om du inte använder de slumpmässiga, starka lösenorden som föreslagits av din lösenordshanterare (eller ESETs lösenordsgenerator), konsultera detta lista med tips från amerikanska Cybersecurity and Infrastructure Security Agency (CISA). Det föreslår att du använder det längsta lösenordet eller lösenfras tillåtet (8-64 tecken) där det är möjligt, och inklusive stora och små bokstäver, siffror och specialtecken.

Med tiden hoppas man att lösenord – med stöd av Google, Apple, Microsoft och andra stora tekniska ekosystemspelare – äntligen kommer att signalera ett slut på lösenordseran. Men under tiden, se till att dina konton är så säkra som möjligt.