Detta tips

... handlar om hur du skapar säkra lösenord och varför det är viktigt och hur du ser om din epost eller något av dina konton är på vift i något av de tusentals läckage av användardata som har skett genom åren.

Nedan följer den kompletta versionen av första mailet till malinglistan Tips, som klockar in på 43119 tecken och 6931 ord. En nedkortad version var den som faktiskt mailades till listan med en hänvisning till detta blogginlägg. Tom jag fattade att det var kanske väl långt... ;)

Hejsan

Jag upprepar mig lite här i början för nya deltagare som missade första mailet till Digitalt skapandelistan.

Varmt välkomna till Tipslistan! Jättekul att dessa listor kom igång.

Tipsa gärna dina kompisar om listorna ( http://www.mammals.se/listor ). Det kan vara ett jättebra sätt att slippa svara på frågor om datorer men även för att lära sig något kul tillsammans.  Det kostar bara 30 kr per månad att vara med.

Du får gärna vidarebefordra detta mail till vänner (i sin helhet). :)

Detta är första mailet till tipslistan då jag har nu lagt till de första 13 prenumeranterna, så vi har redan nått 26% av målet. Vid 50 prenumeranter skapar vi tre listor till!

Detta mail är dock jättelångt, jag försöker börja med det viktigaste och så är det fördjupning senare. Ber om ursäkt för det. Hade jag mer tid, skulle det vara kortare. :)

Innehåll detta mail

• Lite administration i första mailet till listan
• Vad skall vi prata om?
• Kommande tips
• Kort presentation av mig
• Första tipset - har du säkra lösenord?
  • Introduktion
    • Varför så många datorinbrott?
    • Hur lätt är det att knäcka lösenord nuförtiden?
    • Listor skapade med algoritmer är det nya svarta
    • Berömda hack
    • Är du registrerad på en hackad webbsite?
  • Min metod att skapa dubbelplusbra lösenord
    • Lösenord v.s. lösenordsfraser
    • Min metod
    • Exempel
    • Referenser
  • Varför inte bara köra med fyra slumpmässiga ord som i XKCD-teckningen? Correct Horse Battery Staple?
    • Referenser
  • Ett sätt att skapa rätt bra lösenord när säkerhet inte är fullt så viktigt
  • Webbsiter och metoder att SKAPA lösenord
    • Helt slumpmässiga siffror och lösenord
    • XKCD-metoden Correct Horse Battery Staple
    • Diceware-metoden
      • Referenser
    • Köra kommando i terminalen funkar det med
  • Webbsiter och tjänster för att SPARA lösenord
    • Rekommendationen i korthet
    • KeePassX
    • PasswordBox
    • Lastpass
    • Nyckelhanterare
    • Recensioner av lösenordshanterare
    • Lista på lösenordshanterare, i bokstavsordning
  •  Några till gratisalternativ
    • Veracrypt + textfil
    • Filemaker
    • Andra program? Excel, Word, LibreOffice/Open Office?
  •  Har du tidigare versioner av dina osäkra lösenordsfiler sparade i dina backuper?
  • Är du säker med ett bra lösenord?
  • Varför behöver du skydda dina data och ditt privatliv

Lite administration i första mailet till listan

Om du vill skriva till listan använder du adressen Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.

Listan har en sida: ( http://mammals.se/aktuella-listor/tips-mac-pc-ios-internet ).

Vad skall vi prata om?

Tips!

På listan tipsar vi om saker som får ditt användande av din dator eller internet att bli mera effektivt, praktiskt eller roligare. Jag har massor med tips att dela med mig av. Det har säkert du med? Tipsen tänker jag mig kan handla om att ge dig mera verktyg i din dator- och internetverktygslåda.

Jag ser verkligen fram emot dina tips och speciellt efterlysningar på tips!

Kommande tips

Sedan har jag planerat skicka dessa tips också.

• Andra tipset – Windows 10 har kommit
• Tredje tipset - Känner du till dessa webbsiter för att skapa bilder?
• Fjärde tipset - Hur du installerar ett helt gäng med vanliga program på en gång
• Femte tipset - Hur du gör backup med olika program, eller med terminalen (vilket ju är gratis)
• Sjätte tipset - Flash måste DÖ!

Kort presentation av mig

Har arbetat som IT-konsult i egen regi sedan 1999 och då jobbat med FileMaker Pro (databasprogram) och med Joomla! (CMS för att göra webbsiter). Men jag har även andra intressen och är i processen att göra om mitt företag till content marketing.

• Jag driver även de tre webbsiter som står med i min signatur: http://alltommig.nu/ (humor och politik), http://aktivistforumet.se (hantverket i aktivism), http://www.bokforamoms.se/ (bokföringsguider).
• Under arbete är en till, min samling av tips, tricks och knep för hur man lär sig saker lättare. Finns bara på Facebook så länge.

Om du vill presentera dig så får du gärna göra det du med!

Första tipset - har du säkra lösenord?

Visst är du en av dem som har samma lösenord på de flesta webbsiter du registrerar dig på? Erkänn?! Visst är det så? :)

Om du inte gör så, grattis! :)

Men förutom det uppenbara tipset finns det många andra saker om lösenord du kanske vill lära dig för att kunna skapa säkra sådana? Som t.ex. att de skall vara långa, inte innehålla bara vanliga ord, och inte heller innehålla bara en vanlig fras från populärkulturen. Med mera.

Vi börjar med en introduktion till detta tips, vad det är man upptäckt om hur hacker knäcker lösenord, sedan kommer direkt min dubbelplusbra metod att skapa säkra lösenord. Ett sådant riktigt säkert lösenord behöver du för när det verkligen skall vara just säkert, t.ex. för att låsa upp kryptering, eller låsa upp din lösenordshanterare eller för att logga in som admin i din dator. Betrakta ditt lösenord som ett hänglås till dina viktiga data, ju större och tjockare hänglås, desto svårare att bryta sig in.

Efter detta kommer referenser och länkar till användbara webbsiter och programvaror för att hantera lösenord.

Det är ett av de viktigare sakerna i detta tips, att du skaffar en programvara för att hantera lösenord.

Plus lite annat på slutet.

Introduktion

De senaste åren har det skett ett antal saker gällande den typ av datorsäkerhet som upprätthålls via lösenord.

För det första så har det varit en del buggar i grundläggande internetsäkerhet och i våra operativsystem. En av de mest berömda heter "The Heartbleedbug". (Wikipedia förklarar, XKCD förklarar också). Det häpnadsväckande med den buggen som gäller krypterad kommunikation är att den har funnits i stort sett alla operativsystem i flera år, i just den grejen som var till för att göra kommunikationen säker. Trist. Katastrof har många kallat det.

Det har även upptäckts andra buggar och säkerhetsluckor, som t.ex. i Flash (läs mer i ett kommande tips). Men det är inte bara dessa som orsakat att ett jättestort antal webbsiter har blivit hackade och åttahundramiljoner lösenord har kommit på vift. Det beror på sex saker till. En av dem är att man återanvänder lösenord.

Varför så många datorinbrott?

1. Människor återanvänder lösenord på flera ställen. Detta är största problemet.
2. Datorer har blivit snabbare vilket betyder att de kan skicka fler gissningar än tidigare. Det talas om 200.000 gissningar per sekund eller ännu mera.
3. Det andra är att hackers har lärt sig nya tricks med hjälp av alla de hack som har gjorts. Speciellt var RockYou-hacket belysande med 5 miljoner lösenord. Genom att studera dessa listor på lösenord har de funnit bättre algoritmer för att knäcka lösenord.
4. Människor är rätt dåliga på att välja säkra lösenord. Säkerhetsexperten Bruce Schneier berättar mera om de dåliga metoder människor använder för att skapa lösenord:  https://www.schneier.com/blog/archives/2006/12/realworld_passw.html  Lösenord som qwerty och password1 används fortfarande. Här är t.ex. lista på de 25 vanligaste lösenorden: http://www.cbsnews.com/news/the-25-most-common-passwords-of-2013/ Se även lösenordmolnet nedan. En till lista på vanliga lösenord som kommer få dig, som inte har ett så korkat lösenord, att känna dig som ett geni: http://mashable.com/2015/08/05/top-passwords-brandspeak/
5. Systemutvecklare är inte heller duktiga på att skapa lösenord. Då de skall programmera en regel för att tvinga dig att välja ett bra lösenord, så kan det bli mycket fel. Faktiskt är detta så vanligt förekommande att det finns en webbsite som samlar på exempel på banker, webbsiter och andra tjänster som har urusla regler för de lösenord de kräver. En bank kräver t.ex. ett lösenord med endast åtta tecken! Det knäcks på mindre än en sekund. Se webbsiten Badpassword: http://www.badpasswords.org/
6. För att lösa det första problemet om återvändning av lösenord, behöver flera människor än vad som gör det, använda lösenordshanteringsprogram. Med dessa kan du skapa olika lösenord för olika saker och du behöver bara komma ihåg ett lösenord. Det står mer om detta längre ner och detta är det viktigaste i detta tips, att du skaffar ett sådant program.

Hur lätt är det att knäcka lösenord nuförtiden?

Man har upptäckt att om man tar en lista på de 1000 vanligaste lösenorden från sådana lösenordsstölder och använder den listan för att automatiskt generera 100.000 lösenord genom att lägga till vanliga siffror (årtal t.ex.) och vanliga tecken som prefix och suffix, så kan man med denna nya lista, knäcka hela 25% av alla lösenord. Med en gissningstakt på 200.000 gissningar per sekund så tar det en halv sekund. En halv sekund. För 25% av alla lösenord. En programvara, "Password Recovery Toolkit", kan göra 200.000 gissningar per sekund (om den körs i samma dator). Så...

Det har även arrangerats tävlingar: Ars Technica gav tre experter en lista på 16.000 krypterade lösenord och bad dem knäcka så många som möjligt. Vinnaren knäckte 90% på några timmar. Förloraren, 62% på samma tid. De har upprepat denna tävling 2012, 2007 och flera gånger och det var samma resultat då. Om det är något nytt denna gång, så är det att det är lättare och går ännu fortare än man tror.

Faktiskt är det så illa, när man tittar på de 500.000 lösenord som kom på vift med RockYou-hacket, och tar de 1000 vanligaste, så kan du med denna lista bryta dig in i 91% av alla konton. De 10.000 vanligaste knäcker 99,8% av alla lösenord.

Hackers använder sig därför inte av brute-force-attacker längre. Där man provar varenda kombination av säg åtta tecken, från aaaaaaaa till zzzzzzzz. Berömt bland annat från filmen "Wargames". Det är rätt dumt. Detta diagram visar varför då det beror på att efter ett visst antal tecken så ökar "kostnaden" för att knäcka en bokstav till väldigt mycket.

Listor skapade med algoritmer är det nya svarta

Istället använder hackers (eg crackers) olika listor för att gissa lösenord. De har t.ex. listor på vanliga ord, vanliga namn, vanliga fraser från populärkulturen och förstås listor på lösenord från andra hack. Sammanlagt finns det runt åtta-hundra-miljoner med knäckta användarnamn och lösenord där ute.

Så här ser ett ordmoln över vanliga lösenord ut: http://vitalisec.blogspot.se/2011/11/google-recently-launched-major.html

Hackers/crackers känner alltså väl till vilka metoder människor skapar lösenord och de använder dessa metoder för att skapa algoritmer som tex lägger till vanliga prefix och suffix till vanliga ord, för att så gör människor. Konstruktionen med förnamn och ett årtal på 1900-talet är tex mycket vanligt bland användare och därmed är det lätt att knäcka. Har du en lista på 1000 namn och 999 årtal, och kombinerar dessa till 100.000 lösenord, så hittar du säkerligen ett stor mängd lösenord bara med denna enkla lista.

Det går att ladda ner sådana listor på lösenord från internet att laborera med. http://www.openwall.com/passwords/wordlists/

Hacken har visserligen lett till bättre metoder för hackers att knäcka lösenord, men även bättre råd från säkerhetsexperter på hur man skapar säkra lösenord och lösenordsfraser.

Berömda hack som utförts

Berömda hack är förresten Adobe, Gawker, Sony, LinkedIn, RockYou.com, Gmail, Plenty of Fish (datingsite), Ashley Madison (datingsite) och i Sverige: Sweclockers. En del av dem rapporteras på webbsiter just till för det, t.ex. denna: http://www.hackreports.com/

Artiklar om de olika intrången:

Gawker: http://www.theregister.co.uk/2010/12/13/gawker_hacked/
RockYou: http://arstechnica.com/security/2010/01/32-million-passwords-show-most-users-careless-about-security/
LinkedIn: http://arstechnica.com/security/2012/06/8-million-leaked-passwords-connected-to-linkedin/
Gmail: http://mashable.com/2014/09/10/5-million-gmail-passwords-leak/
Ashley Madison: http://www.rollingstone.com/culture/news/what-the-ashley-madison-hack-means-for-cybersecurity-20150721?utm_source=facebook&utm_medium=referral&utm_content=wired&utm_campaign=partner
Massor med hackade webbsiter är länkade på denna sida (interaktiv sida och den talar om för dig om du har blivit hackad, se även nästa stycke): http://www.nytimes.com/interactive/2015/07/29/technology/personaltech/what-parts-of-your-information-have-been-exposed-to-hackers-quiz.html?smid=tw-share&_r=0
Ännu en lista med hackade webbsiter, dessa från 2015: https://www.passwordboss.com/consumers-guide-to-security-breaches/2015-security-breaches/

Är du registrerad på en hackad webbsite?

Det är så vanligt att det finns flera webbsiter som erbjuder dig att fylla i din epostadress för att se om den är med i någon av dessa hack och dessa webbsiters databaser över användarnamn och lösenord uppdateras ständigt. Här är några av dessa webbsiter (jag har kollat om de gör något fuffens men inte hittat något som tyder på det).

• https://haveibeenpwned.com/
• https://pwnedlist.com/
• https://breachalarm.com  <-- denna webbsite signar upp dig på sina emailutskick lätt att stänga av med en länk i mailet.>

Dessa webbsiter är omskrivna här:

These Sites Tell Which Of Your Accounts Have Been Hacked
http://www.forbes.com/sites/adamtanner/2014/04/14/these-sites-tell-which-of-your-accounts-have-been-hacked/

Should You Trust a Site to Check If Your Gmail Password Was Leaked?
http://mashable.com/2014/09/12/should-you-trust-gmail-password/

På grund av av alla dessa lösenordsstölder så har man börjat övergå till att prata om lösenordsfraser (d.v.s. flera ord), istället för lösenord (ett ord).

Min metod att skapa dubbelplusbra lösenord

Lösenordsfraser v.s. Lösenord

Vi börjar med denna teckning som förklarar skillnaden på lösenord och lösenordsfraser: XKCD, nr 936: Password Strength (som har sin egen förklaring i XKCD-wikin).

Detta tillsammans med andra tips, är halva svaret i att skapa ett säkert lösenord.

Min metod

Jag har läst igenom massor med rekommendationer från experter och här är är metoden. Iden är alltså att gå på tvärs mot de vanliga metoder som människor använder för att skapa lösenord, utifrån vanliga ord eller namn till vilket de lägger ett årtal och så avslutar de med en eller flera krumelurer.

Detta lösenord är ett superlösenord, som du använder för viktiga saker, t.ex. för att låsa upp krypterade saker eller din lösenordhanterare som innehåller alla dina andra lösenord.

1. Du behöver två fraser av ord, och de skall vara lätta att komma ihåg. Meningsfulla för dig helt enkelt.
2. Ena frasen kan vara från populärkulturen (böcker, filmer eller musik).
3. Andra frasen bör inte vara det, det bör vara något personligt för dig.
4. Lägg till ett par siffror och några krumelurer. Aldrig bara fyra siffror, d.v.s. vanliga årtal är från 1300 upp till 2015. Ha dem inte som ett suffix, hellre prefix. Suffix (sist) är den vanliga placeringen av siffror, så gör tvärtom. Eller i mitten. Tänk en sex eller åtta siffror lång pinkod. Helst inget årtal, eller något nummer som kan associeras med dig, telefonnummer, postnummer, personnummer på dig, fru, barn osv... 69 (den sexuella ställningen) och 42 (från Liftarens guide till galaxen) är otroligt vanliga siffror att lägga till, så skippa dem.
5. Se till att det resulterande lösenordet är långt. Med långt menas längre än 10 tecken. Redan nu kan man knäcka 16 tecken långa lösenord på minuter. Så dubbla det så börjar det bli bra.
6. Ha med en eller flera versaler och se till att de versalerna inte är i första eller sista positionen, för där placeras de nästan alltid.
7. Du kan göra någon ersättning om du vill, t.ex. istället för "en gång" så skriver du "1 gång" eller "! gång" (1 och ! är samma tangent på tangentbordet). 
8. Lägg kanske till ett ord i den andra frasen, från ett annat språk. Så att meningen inte låter som en korrekt konstruerad mening som någon skulle kunna tänkas ha skrivit i en bok eller så.
9. Har du med krumelurer, ha dem inte sist, det är den vanliga placeringen.

Exempel:

• Fras 1: "en gång krockade jag med en parkerad bil" blir då egkjmepb
• Lägg till dina siffror, t.ex. 314151 (tryck det på tangentbordet så känner du mönstret)
• Fras 2: "utan kaffe funkar jag inte", ersätt "kaffe" med t.ex. pluto eller något ord från något annat språk.
• Min krumelur: *

Ditt supersäkra lösenord blir då

egkjmepb*314151utan PLUTO funkar jag inte

44 tecken. Riktigt bra. Olika språk. Ord som inte finns i någon ordlista. Versaler inte i början. Siffror är med och inte i slutet. Kommatering inte i slutet. Memorerbart. Inte alltför svårt att skriva.

Referenser:

Choosing Secure Passwords -  Schneier on Security
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html

Using Common Phrases Makes Your Passphrase Password Useless: Here’s How to Pick a Better Phrase - Lifehacker
http://lifehacker.com/5893510/using-common-phrases-makes-your-passphrase-password-useless-heres-how-to-pick-a-better-phrase

The Only Secure Password Is the One You Can’t Remember
(Intressant och lång artikel)
http://lifehacker.com/5785420/the-only-secure-password-is-the-one-you-cant-remember

Your Clever Password Tricks Aren't Protecting You from Today's Hackers
http://lifehacker.com/5937303/your-clever-password-tricks-arent-protecting-you-from-todays-hackers

The State of Password Habits | Infographic – Slideshare
En bra info-grafik om lösenord och några problem och lösningar. Från PasswordBoss.com (en passwordmanager)
http://www.slideshare.net/bhaveshpatelseo/the-state-of-passowrd-habits-infographic

Vill du läsa mera om Password Cracking, så finns tre bra blogginlägg här:

Why passwords have never been weaker—and crackers have never been stronger
Lysande artikel om de vanliga mönster och tekniker som människor använder för att välja lösenord, tex lägga ihop två vanliga ord eller namn och göra ersättningar, 3 för E, $ för S osv. Eller den där man tar förnamn och lägger till ett årtal. Alla dessa vanliga tekniker, har hackers listat ut för länge sedan med hjälp av de läckta databaserna.
http://arstechnica.com/security/2012/08/passwords-under-assault/

Password cracking, part I: how much has cracking improved?
https://www.lightbluetouchpaper.org/2012/09/03/password-cracking-part-i-how-much-has-cracking-improved/

Password cracking, part II: when does password cracking matter?
https://www.lightbluetouchpaper.org/2012/09/04/password-cracking-part-ii-when-does-password-cracking-matter/

Varför inte bara köra med fyra slumpmässiga ord som i XKCD-teckningen? Correct Horse Battery Staple?

Experterna säger nämligen att då teckningen är så känd, så är algoritmen inlagd i de listor de jobbar med. De kan nu skriva algoritmer som även tar med den typen av lösenord som föreslås i teckningen och lösa dem mycket fort också. Just för att det inte är tillräckligt med entropi (slumpmässighet) i dem.

Utgår man från en lista med de 1000 vanligaste orden i något språk och plockar fyra ord i alla kombinationer, så har inte entropin ökat så mycket om man känner till den algoritmen att skapa lösenord, för minsta enheten i lösenordet är inte ett tecken, det är ett helt ord. Det är alltså inte så stor skillnad i säkerhet på ett fyra teckens lösenord som på ett fyra ords lösenord. Även om de fyra tecknen kan vara något av ca 100 olika tecken och ordet kan vara något av 1000 olika ord. Med 200.000 gissningar per sekund eller mera, så spelar det tyvärr liten roll.

Därför behöver du skapa ett hybrid-lösenord, som kombinerar flera metoder att skapa lösenord. Lösenordsfras (initialerna bara) skapar ett ord som inte finns i en ordlista. Vilket är toppen! En till lösenordsfras, lägger till stor längd till lösenordet. Också toppen! Plus siffror och krumelurer. Därav metoden ovan.

Referenser:

Password Security: Why the horse battery staple is not correct - Diogomonica.com
Artikelförfattaren kallar horse battery staple för korkad och menar att vi skall lära människor använda lösenordshanterare, som tex Nyckelhanterare i Mac OS X, eller 1password, KeePass o.s.v.
https://diogomonica.com/posts/password-security-why-the-horse-battery-staple-is-not-correct/

Choosing a secure password - BoingBoing.net
Bruce Schneier har också problem med XKCD-strippen... och föreslår ett schema att skapa lösenord, baserat på ungefär mitt schema!
http://boingboing.net/2014/02/25/choosing-a-secure-password.html

Bruce Schneier on choosing a secure password - Reddit.com
Det finns en tråd på reddit som börjar med Schneier blogginlägg och så poppar det in massor med experter och kanske människor som borde flippa hamburgare istället för att prata om säkerhet på internet. :)
https://www.reddit.com/r/technology/comments/1yxgqo/bruce_schneier_on_choosing_a_secure_password/

Is “the oft-cited XKCD scheme […] no longer good advice”? – Security.Stackexchange.com
http://security.stackexchange.com/questions/62832/is-the-oft-cited-xkcd-scheme-no-longer-good-advice

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd? – TED.com
Coolt, en TED Talk om just lösenord d.v.s. VIDEO
http://www.ted.com/talks/lorrie_faith_cranor_what_s_wrong_with_your_pa_w0rd

Passphrases That You Can Memorize — But That Even the NSA Can't Guess – FirstLook.org
Även den onlinetidning som skapades av de journalister som fick scoopet att berätta om den information som Edward Snowden delade med sig av har p.g.a. omständigheterna och den info de fick ta del av blivit mycket säkerhetsmedvetna. Tidningen heter FirstLook, journalisten Glen Greenwald. Här är det dock en annan journalist som ger goda råd om att välja lösenordsfraser istället för lösenord. MM.
https://firstlook.org/theintercept/2015/03/26/passphrases-can-memorize-attackers-cant-guess/

Ett sätt att skapa rätt bra lösenord när säkerhet inte är fullt så viktigt

Du behöver under ditt liv som internetanvändare registrera dig på massor med webbsiter. Eftersom vi människor är lata använder vi ofta samma lösenord på flera webbsiter, just för att det är jobbigt att komma ihåg många olika lösenord. Det upptäckte crackers när de kom åt och publicerade sådana databaser över användarnamn och lösenord. De testade nämligen dessa på andra webbsiter, tex Facebook, Gmail, Youtube, Apple Store, iCloud, Skype osv osv och fann att många var exakt likadana. Det ledde till att man kunde göra nya lösenordsstölder (även IT-chefer har visat sig vara dåliga på detta med lösenord), så samma user/pass som de använde på sitt spel-konto, använde de för att logga in på företagets filservrar mm.

Så även om du skall ha riktig bra, kreativa och låååånga lösenord för viktiga sammanhang för att skydda dina data, så spelar det helt enkelt ingen större roll om ditt lösenord till Flickr eller Facebook eller ett forum som Fotosidan kommer på avvägar eller knäcks. OM du inte använt det någon annanstans på tex mailen, ditt kreditkort eller för ditt nätverk. Vilket du inte skall göra. Alltså behöver man någon metod att skapa många lösenord men som även är lätta att komma ihåg, just för sådana lösenord som helt enkelt inte är speciellt viktiga.

Så därför kan du skapa ett lösenord du använder för att regga dig på dumma webbsiter, tex jaggillarlakrits#. Men när du registrerar dig på Facebook, Yahoo, Fotosidan, lägger du till något för den webbsiten som du har lätt att komma ihåg. Kanske en annan stavning av webbsiten namn (fejjan), webbsitens faktiska namn (yahoo) eller namnet på något du äger, du kan associera med webbsitens innehåll, tex din kameramodell (canon) för fotosidan.

• jaggillarlakrits#fejjan <-- lösenord på facebook
• jaggillarlakrits#yahoo <-- lösenord på facebook
• jaggillarlakrits#canon <-- lösenord på fotosidan

Dessa lösenord är inte speciellt bra, men de fyller sin funktion och lär dig en bra vana. Framförallt kommer ditt användarnamn och lösenord på exempelvis fotosidan, om den hackas någon dag, inte kunna användas för att läsa dina mail via yahoo eller posta meddelanden på facebook eller komma åt dina filer i icloud.

Bäst är förstås att istället använda en webbtjänst eller programvara för att lagra dina lösenord och ha olika lösenord på olika webbsiter.

Webbsiter och metoder att SKAPA lösenord

Några webbsiter som gör lösenord åt dig. Detta är en funktion som även finns i de flesta lösenordshanterare.

Helt slumpmässiga siffror och lösenord

Det finns även webbsiter för att hjälpa till att skapa lösenord med bara siffror eller kombinationer.

Skapa sant slumpmässiga siffror
https://www.random.org/

Password generator (från Designeus)
Här kan du välja på olika scheman för dina lösenord, skall det vara bara bokstäver, vill du ha med siffror, krumelurer os.v
http://generator.designeus.net/?template=UlCv%239%23cUcvC%23l9vllV%23%2399v9Ul%23cc

Edit länk tillagd: 2017-12-04:

Password Generator (från VPNMentor)
Här kan du också välja olika scheman för dina lösenord på samma sätt som föregående länk, siffror, krumelurer, längd osv, eller få ett kort lösenord på en gång. 
https://sv.vpnmentor.com/tools/secure-password-generator/

Någon eller alla tre länkarna ovan är bra att ha med som ett bokmärke så det är lätt att få fram dem genom att tex skriva lösenord i adressraden. 

XKCD-metoden Correct Horse Battery Staple

Denna metod har också en egen webbsite. men som jag berättade ovan, den har ifrågasatts.

Skapa XKCD-stil-lösenord från vanliga engelska ord
http://preshing.com/20110811/xkcd-password-generator/

Diceware-metoden

Källa till bilden ovan: http://www.dmuth.org/node/1453/introducing-diceware-secure-passwords-you-can-remember

Detta är en berömd metod, som har mer än 20 år på nacken, som dock kräver rätt mycket arbete och som gör det svårt att memorera. Men den siktar på att åstadkomma mera slumpmässighet i din lösenordsfras. Denna metod heter Diceware Passphrase. http://world.std.com/~reinhold/diceware.html

Du tar en sex-sidig tärning, slår den fem gånger. Du antecknar siffrorna. Det femsiffriga tal du får refererar till ett ord i en lista över 7776 ord. (Länkar till svensk och engelsk ordlista finns nedan). Varje ord i listan har fem siffror framför sig. Ett kort utdrag ur listan

16664 cleat
16665 cleft
16666 clerk
21111 cliche

Så om du fick siffran 16665 tex så är ditt första ord i din lösenordsfras cleft.

Sedan upprepar du detta tills du har sex separata ord. Sedan behöver komma ihåg denna fras. Du kan antingen skriva ner den, lagra den på ett krypterat USB-minne/krypterad fil på din hårddisk (se nedan) eller skapa minnesteknisk hjälp. En bra bild eller story om hur dessa sex ord hänger ihop.

Jag fick tex via Diceware Password generator nedan (inställd på 6 ord) 30BuenosRashHoopSiQuake och inställd på fyra ord:

Längden på din passphrase skall vara minst 17 tecken, den skall inte se ut som en vanlig mening om du mot förmodan skulle få till det, och den behöver, som Arstechnica nedan berättar, innehålla minst sex olika ord.

Referenser

The Diceware Passphrase Home Page – World.std.com
http://world.std.com/~reinhold/diceware.html

Diceware Password Generator
På denna sida kan du skapa just Diceware-passphrases. Lösenordet skapas i din webbläsare med Javascript och hämtas inte från en server och överförs till den.
https://www.dmuth.org/diceware/

Diceware passwords now need six random words to thwart hackers – Arstechnica
http://arstechnica.com/information-technology/2014/03/diceware-passwords-now-need-six-random-words-to-thwart-hackers/

Den svenska ordlistan för Diceware finns här:
http://x42.com/diceware/

En PDF med den amerikanska ordlistan finns här:
http://world.std.com/%7Ereinhold/dicewarewordlist.pdf

Köra kommando i terminalen funkar det med

Även detta UNIX-kommando skapar helt slumpmässiga lösenord, med bokstäver, krumelurer och siffror.

jot -r -c 160 . z | rs -g 0 20

Så här kan det se ut:

Om du ändrar sista siffran (20) till något annat, så ändrar du längden på de genererade lösenorden.

Webbsiter och tjänster för att SPARA lösenord

Eftersom det blir jobbigt att komma ihåg alla lösenord så finns det lösningar på det. Du behöver skaffa en programvara "Password manager" som kan lagra dina olika lösenord, och denna bör helst funka även i din telefon. I praktiken har du ett master password som skyddar dina andra lösenord, och det är därför man pratar om lösenordsfraser som behöver vara säkra (och långa).

Varför inte (på Mac) bara köra med Nyckelhanteraren då? I teorin funkar det i och för sig, men den är knuten till datorn du sitter vid. Det går visserligen exportera en nyckelring och överföra den till en annan dator och importera alla user/pass till den. Men en av idéerna är att det skall finnas en central källa för alla user/pass och olika versioner av densamma. Det blir jobbigt fort. Att kunna ha samma user/pass även i nallen, paddan och ett par datorer till är en stor fördel.

Här finns några sammanställningar och recensioner av sådana programvaror, men före dess så kommer min rekommendation:

Rekommendation i korthet

Om du har pengar, köp LastPass, DashLane eller 1Password.

Om du är OK med att mata in ett user/pass/länk i taget och du verkligen inte vill lagra i molnet, och du verkligen inte vill betala, kör Open Sourcelösningen KeePass (Windows) eller KeepassX (Mac OS X, Linux).

Om du vill ha ett gratis alternativ, som bara funkar i webbläsaren, som är snyggt och kanske i framtiden kostar pengar, som kan importera vissa webbsiters lösenord (inte alla), resten får du mata in manuellt, kör på Password Box.


KEEPASSX:




Kör du Mac: Det är en smula förvirrande men det finns två program som heter nästan samma, men det är helt olika program. Båda är Open Source och gratis. Macanvändare skall skippa KeePass http://keepass.info/. Den är gjord för Windows och byggd i .NET och för att den ens skall fungera måste du installera inte ett utan två separata program på Mac alltså. Som är båda rätt jobbiga och krångliga installationer. Dumt. Om du letar efter portar av denna programvara, så kostar de pengar allihopa, då kan du lika gärna skippa den och köpa en av de mera etablerade. Kör du Windows och vill ha något gratis och är väldans duktig på datorer, då kan du köra denna.

Kör du Mac (forts): Skaffa istället KeePassX https://www.keepassx.org/, det är en helt annan programvara som inte bygger på .NET utan på något annat som heter heter QT. Den är det bara att ladda hem och installera och köra. Kombinera med appen MiniKeePass för din mobil (IOS) som kan läsa databasformatet, som tom är gratis, så har du dina lösenord med dig i nallen. http://www.makeuseof.com/tag/keepassx-minikeepass-a-free-secure-ios-mac-os-x-password-solution/

Fördelen med KeePass och KeePassX är att de är open source och gratis och dessutom lagrar sina filer lokalt på din hårddisk. Men de har inte så mycket funktioner. Du kan kopiera användarnamn och lösenord för att klistra in dem någonstans, och du kan högerklicka för att öppna en URL, men du får ingen hjälp i en webbläsare tex att fylla i något från din lösenordsdatabas. Det är ett försäljningsargument för att prova något annat. När du börjar så kan du inte importera från nyckelhanterare eller webbläsare eller något sådant heller. Du får mata in ett namn/user/url/pass/pass/anteckning i taget.

Detta är alla funktioner som KeePassX har. Så att logga in på en webbsite är rätt många klick:





PASSWORDBOX



En annan lösning är Passwordbox och den är förvånande nog gratis! Vad jag kan utläsa i alla fall efter att ha letat efter priser rätt länge. Det kan vara just nu det är så. Den lagrar dock i molnet hos Intel och fungerar bara som plugin i din webbläsare. Men du kan hålla reda på lösenord, anteckningar och andra uppgifter däri. Och det finns en gratis app för IOS och Android. Ditt superlösenord skickas aldrig över nätet.

Så här ser det ut, lösenord för webbsiter kan fyllas i automatiskt. Den är rätt smart och plockar vissa sådana formulär. Upptäckte precis att Joomla! inloggning inte fungerar med automatisk ifyllnad. Men man kan förstås kopiera och klistra in. Många klick blir det. Synd.

Den kan heller inte på Mac i alla fall, direkt importera dina lösenord som redan är lagrade i Firefox. Man kommer via kugghjulet > inställningar > importera till att ladda hem en EXE-fil, d.v.s. ett PC-program och de funkar ju inte på Mac. Den påstår det programmet behövs? Varför? Förvirrande. Så det är en stor nackdel. Den verkar dock kunna plocka upp user/pass för en massa stora och vanliga webbtjänster, Gmail, Google Docs, Youtube, Facebook, Twitter osv osv och loggar in dig i dessa automatiskt.

LASTPASS



Favoriten från Lifehacker är LastPass. Vid installation så upptäcker den lagrade lösenord och importerar dessa (ett klick krävs per lösenord). Den klarar av Joomla! loginrutan, vilket jag tycker är trevligt. Den gömmer sig under stjärnan. Skärmdump från Safari. Men lösningen kostar, $12 per år.

Så här ser Last Pass ut när jag skall fylla i user/pass på en Joomlasite när jag högerklickar på den lilla stjärnan i formuläret där det står admin i bilden. Sedan kan jag välja Autoifyll och rätt user/pass och så är det ifyllt och så klickar man på "Logga in". Rätt smidigt.



När jag sedan installerade samma i Firefox så finns det inget sätt att säga att jag redan har ett konto, man måste skapa ett och  det funkade att "skapa ett", det du just skapade i Safari tex, som redan fanns och så upptäckte den det. Mitt användarnamn är i alla fall identiskt och den fann alla user/pass i Firefox och importerade dessa. Sedan erbjuder den sig att radera dem.

Det finns massor med flera funktioner i LastPass, importera, exportera, kolla skapa lösenord och en massa mera. Det är tex lätt att lägga till en webbsite, den plockar upp URL'en, user/pass och andra uppgifter. Smart. Nedan valde jag Verktyg > Ny webbplats i Lastpassmenyn. (Detta gör alltså inte Password Box).



NYCKELHANTERARE
Kör du Mac? Nyckelhanteraren skapar krypterade nyckelringar med dina nycklar på. Du kan exportera dessa, via tex krypterade USB-stickor och dela dem mellan datorer. Skicka dem INTE över nätverket eller över internet.


Recensioner av lösenordshanterare

Här är några jämförande recensioner på Lösenordshanterare.

Lifehacker Faceoff: The Best Password Managers, Compared – Lifehacker
Detta efter omröstningar från Lifehackers läsare. De gillar LastPass bäst.
http://lifehacker.com/lifehacker-faceoff-the-best-password-managers-compare-1682443320

The Best Password Managers for 2015– PCMag
http://www.pcmag.com/article2/0,2817,2407168,00.asp

The Best Free Password Managers for 2015 – PCMag
En till sammanställning över de som är GRATIS.
http://www.pcmag.com/article2/0,2817,2475964,00.asp

6 Popular Password Managers Compared - Breachalarm.com
https://breachalarm.com/password-managers

De allra flesta kostar dock pengar, å andra sidan är ju dina data inte gratis direkt, de har kostat tid och därmed pengar de med. Kan du lägga några hundralappar på ett bra lås till cykeln kan du lägga några hundralappar på att skydda dina data. Men det finns gratislösningar. Gratis demoversioner finns på flera av dem så du kan prova vilka du gillar.

Lista på lösenordshanterarna, i bokstavsordning:

• 1Password | Dyrast men snyggast i klassen. 50 dollar att köpa. Ingen årskostnad.
  • https://agilebits.com/onepassword |
• Dashlane | Kostar men riktigt snygg. $39,99 per år.
  • https://www.dashlane.com/
• KeePass | Bara för Windows (ok, det funkar på Mac, men det är jättekrångligt, se nästa). Gjord i .NET. Opensource, gratis.
  
  • http://keepass.info/
• KeePassX | Mac och Linux, lätt att komma igång med. Opensource, gratis.
  
  • https://www.keepassx.org/
• LastPass  | Favoriten för webbsiten Lifehacker. Kostar $12/år. Du lagrar dina lösenord i deras molntjänst. När du installerar
  • https://lastpass.com/
  • OBS LastPass har blivit hackat 16 juni i år.
• PasswordBoss | Gjorde infografiken ovan. Gratisversion finns. En version med flera funktioner, däribland dela lösenord säkert och välja land där lösenordsfilen lagars, kostar $29,99/år. Bara för Windows, IOS och Android.
  • https://www.passwordboss.com/
• PasswordBox | Ägs nu av Intel. Gratis upp till 25 lösenord. Mac, Windows, IOS, Android. Plugins för webbläsare. Prisvinnare, bästa MobilApp vid CES 2014. Webbsite på svenska. Lagrar i molnet. Gratis, i 6 månader (för att fira att de köpts av Intel Security det står så här med). Det är dock att finna info om pris, här är några försök: I en art från 2013, står priset $1 per månad. Men det var före Intelköpet. En annan artikel från 2014 säger $1,99 per månad, $11,99 per år. Det står inte ett ord om priser på webbsiten eller i webbläsarens inställningar! Eller det står faktiskt att jag har ett livslångt obegränsat konto. Så den verkar vara gratis. Man kan även värva vänner via en länk eller via mail. Denna länk ger mig mera utrymme om någon signar upp sig med den: http://j.pbox.io/5zY3fjCW Dessutom har de en funktion att hantera lösenordslistan i händelse av dödsfall medelst en betrodd person som du anger. Bra funktion. De finns även på Facebook. Intel Security gör även en ny lösning, True Key, vars finess är att logga in dig med ditt ansikte. :)
  • https://www.passwordbox.com/
• Passwordsafe | Skapad av Bruce Schneier, gratis, opensource. Bara för Windows. En portning till Mac kostar $14.95. Krånglig. Yxig.
  • http://passwordsafe.sourceforge.net/
• Roboform | Kostar $9,95 första året och $19,95 åren efter. Minst funktioner av dem alla.
  • http://www.roboform.com/

Förresten: En del webbsiter hindrar användandet av denna typ av programvaror, vilket är sjukt korkat, vilket Wired har uppmärksammat i denna artikel. Så klaga på siteägaren om du upptäcker detta och länka till nedanstående.

Websites, Please Stop Blocking Password Managers. It’s 2015:
http://www.wired.com/2015/07/websites-please-stop-blocking-password-managers-2015/?mbid=social_fb

Några till gratisalternativ:

Veracrypt + textfil

En annan metod är att helt sonika skapa en textfil med dina lösenord, MEN, du lagrar den i ett krypterat filarkiv och inte i molnet eller på din dators hårddisk.

Det krypterade fil-arkivet kan du ha antingen på en USB-pinne eller på din hårddisk.

Programmet Veracrypt https://veracrypt.codeplex.com/ är vad du behöver.



FileMaker
Du kan även spara lösenord i en FileMaker-databas. Den kan du spara på ett krypterat USB-minne eller filarkiv, dessa skapar du med Veracrypt. På så vis får du stor säkerhet, även om just FileMaker inte har världens bästa rykte gällande säkerhet.

Då kan du tex i FileMaker ha en webbvisare med user/pass ovanför den. Billigt och enkelt att göra.

Andra program? Excel, Word, LibreOffice/Open Office?
Samma gäller som i ovan, en fil i valfritt program kan placeras i ett krypterat filarkiv som man kan skapa med Veracrypt.

Har du tidigare versioner av dina osäkra lösenordsfiler sparade i dina backuper?

För Mac:
En sak man kanske inte tänker på om man har Time Machine som gör backup i bakgrunden och automatiskt, är att om du idag övergår till ett säkert sätt att lagra dina lösenord, så kommer den där textfilen du hade på skrivbordet som du döpte till "Alla mina lösenord.txt" att finnas i massa versioner i dina TimeMachine-backuper. Vad du kan göra, är att gå in i Time Machine, navigera till och markera filen och högerklicka på den. I popupmenyn finns då alterantivet att radera alla säkerhetskopior av denna fil. Apple har inte skrivit koden för Time Machine speciellt bra för det kommandot. Så Time Machine visar dig inte att den sätter igång och jobbar frenetiskt på detta. Du kan dock klicka bakåt några gånger och se att att filen raderas. Men feedbacken på denna funktion är dålig och seg. Jag har varit tvungen att tvångsavsluta Time Machine när jag gjort detta, gått in igen och kollat och gjort om det några gånger och bläddrat bakåt så det syns att det är gjort.

För alla OS:
Om du har gjort backuper, så kan det finnas gamla versioner av dina osäkra lösenordsfiler i dessa. Du får gå igenom dem och kolla och radera.

Är du säker med ett bra lösenord?

Nä, du kan bara sträva efter att bli säkrare. Det är lite som med bilar, du kan välja att åka i en säkrare bil och att köra säkrare, men det händer saker i alla fall. Du är aldrig helt säker.

Dessutom skall man komma ihåg det här, om du registrerar dig på en massa webbsiter på internet, så finns, tekniskt sett, informationen på dessa webbsiter om dig. Det är då upp till respektive webbsite att hålla den informationen säker och det vet vi från de tusentals cracks som gjorts, att de inte klarar av detta speciellt bra. Det finns över 800.000.000 lösenord ute på vift just nu.

Varför behöver du skydda dina data och ditt privatliv

Sedan 9/11 så har massövervakning formligen exploderat. Totalitära stater som tex Kina har haft massövervakning länge och även en digtal "great wall of china" som spärrat av Kinesiska befolkningen från all information på internet som deras ledare inte vill att de skall se. Demokratiska stater har antingen genom påtryckningar från USA eller helt och hållet frivilligt gått med på att inlemma sina övervakninssystem i USA's.

För den som vill ha en helt fantastiskt bra bakgrund till denna historik, som börjar med Anne Frank under andra världskriget och går hela vägen, via Snowden, WikiLeaks mm fram till idag och som dessutom avslutar artikeln med att länka till alla de verktyg och program man kan använda för att skydda sig på nätet så finns denna (mycket långa) artikel.

You’re a Criminal in a Mass Surveillance World – How to Not Get Caught
https://bananas.liberty.me/youre-a-criminal-in-a-mass-surveillance-world-how-to-not-get-caught/#.VW3WVskXrhE.facebook

Titeln refererar förresten till omständigheten att det inte spelar någon roll om du har rent mjöl i påsen, då det finns något som heter bekräftelsebias. Vilka data man än samlar in om dig, kan användas för att måla dig som brottsling. Ett svenskt berömt exempel är detta: Rent mjöl i fel påse - Sydsvenskan (vilket handlar om snickaren Torsten Leander).  Redan under franska revolutionen på 1600-talet insåg man hur lätt det är att misstolka vad människor säger och finna dem skyldiga:

"Give me six lines written by the most honorable of men, and I will find an excuse in them to hang him."
Cardinal Richelieu

Om dina data är intressanta för någon, tex en myndighet eller organisation så kommer de dock inte skyddas av ett bra lösenord. Av just det här skälet som finns i den här XKCD-teckningen (#538) som jag avslutar denna långa lektion med. :)