Lösenord • Artikel

Så kommer hackern över ditt lösenord

Lösenord är ofta ett nödvändigt ont för att hålla delar av vår viktigaste information skyddad. Trots det skapar många av oss inte tillräckligt motståndskraftiga lösenord. Ett svagt lösenord ökar chanserna för en angripare att komma över det, och i värsta fall utnyttja det för ohederliga ändamål.

En hacker som vill komma åt lösenord använder ofta en kombination av flera olika tekniker och verktyg för att nå maximal framgång. Vi har tittat närmare på några av de tillvägagångssätt en angripare kan använda sig av för att gissa eller stjäla lösenord.

Tillvägagångssätt

Använda lösenordsdumpar

När tjänster drabbas av intrång så är användarnas lösenord ofta det första angriparen stjäl. Sådana listor av stulna uppgifter (sk. lösenordsdumpar) handlas det sedan med på olika forum. Olika aktörer byter dessa med varandra, och ju nyare och mindre spridd lösenordsdump, desto större värde. När de cirkulerat runt ett tag i slutna forum brukar de till slut göras tillgängliga för allmänheten.

Antalet konton läckta i publikt tillgängliga databaser på detta sätt räknas i miljarder, och eftersom många återanvänder sina lösenord på flera tjänster är det både enkelt och framgångsrikt att testa dessa mot andra tjänster.

Offline-attacker

Många webbtjänster lagrar sina lösenord som hashar i databaser. Att lösenorden är hashade innebär att de inte står i klartext, utan istället skyddas av en kontrollsumma som räknas ut av matematiska funktioner. Nästa gång användaren loggar in räknas en ny hash ut med hjälp av samma matematiska funktion, som sedan jämförs mot den sparade hashen. Om en tjänst som lagrar lösenord på detta sätt drabbas av intrång läcker alltså inte lösenorden i klartext och hur svårt det är att få fram dem beror på vilken metod som använts vid lagringen.

En brute-force-attack är en metod för att systematiskt gissa ett lösenord genom att testa alla möjliga tecken, i alla möjliga kombinationer. Att utföra sådana attacker mot en inloggningsfunktion är ofta lönlöst för en angripare då det kräver extrema mängder gissningar. I en situation där angriparen kommit över ovan nämnda lösenordshashar (via intrång eller andra typer av läckor) blir det dock möjligt att göra lösenordsgissningsförsök direkt mot dessa hashar.

Eftersom dessa tester görs lokalt på angriparens dator, så kan de göras i mycket hög hastighet. Moderna grafikkort tillhandahåller funktioner som har visat sig vara mycket effektiva för den här sortens attacker. Beroende på vilken metod som använts vid lagringen och hur mycket beräkningskraft man har tillgång till kan man testa mellan något tusental till hundratals miljarder lösenord per sekund. I det senare fallet innebär det att samtliga tänkbara alfanumeriska lösenord på 8 tecken eller färre kan knäckas under en timme.

Två välkända verktyg för detta är John the Ripper och OclHashcat.

Ordlistor

Är lösenordet tillräckligt långt blir brute force inte en praktisk metod för att knäcka det. Det vanliga angreppssättet är då att använda sig av ordlistor. Sådana listor över populära lösenord är enkla att hitta, och förekommer ens lösenord på en sådan så kommer det låta sig knäckas relativt enkelt. Ordlistor kan också innehålla ”ord” som byggs upp av mönster på tangentbordet, som ”qwerty12345” och ”qazwsxedc”

Vidare kan angriparen ta till en metod där man utgår från en ordlista uppbyggd från den information man har om offret, som hobbys, namn på husdjur, släktingar, hemstad osv. Dessa termer kan sen kombineras och förändras på olika sätt, t.ex. genom att lägga till tecken, byta ut bokstäver mot siffror. Regler för hur detta görs effektivast baseras på observationer om hur människor ofta väljer lösenord, dvs. inleda med stor bokstav, avsluta med siffror eller interpunktionstecken och byta ut liknande tecken, som i mot 1, e mot 3 osv. Med ett sådant angreppssätt kan ofta betydligt komplexare lösenord knäckas.

Så stjäl hackern ditt lösenord

Phishing

Nätfiske, eller phishing som det också kallas, handlar om att någon utger sig för att vara exempelvis en bank, myndighet eller kanske ett företag i syfte att få tillgång till känsliga uppgifter, till exempel lösenord.

Angreppet sker antingen via mejl eller telefonsamtal där offret uppmanas att lämna ifrån sig inloggningsuppgifter eller klicka på länkar som innehåller skadlig kod som kan utnyttjas för att komma över lösenord eller annan känslig information.

Man-in-the-middle

Ett tillvägagångssätt för att avlyssna information och på så sätt komma över lösenord är att utföra en så kallad man-in-the-middle-attack. Precis som det låter så är det någon ”i mitten” som utgör hotet: någon som tagit sig in mellan två parter som genomför en inloggning, utbyter information, avslutar ett köp eller kanske byter lösenord. Allt som part A sänder till part B, och alla svar från B tillbaks till part A, går förbi eller via mannen i mitten. Informationen kan avlyssnas, och kanske till och med manipuleras, och ofta utan att någon av parterna är medvetna om vad som händer.

En metod är så kallad ”DNS spoofing”. Metoden går ut på att det system som används för att översätta ett domännamn (http://min.leverantör.se) till den IP-adress som behövs, istället påverkas eller ersätts med falsk information. Om du till exempel vill logga in på en sajt som ursprungligen har IP-adress 1.2.3.4, men som har ersatts med ”mannen i mittens” IP-adress 6.7.8.9, så kommer du att koppla upp dig till fel inloggningsformulär. Formuläret kommer se ut precis som du förväntar dig, men i själva verket är mannen i mitten som får informationen om lösenordet du anger.

”DNS spoofing” kan möjliggöras genom att utnyttja sårbarheter i DNS-programvaran eller förfalska information från DHCP-servrar på främmande nätverk eller datorer.

Man-In-The-Middle-attacker avhjälps normalt genom att använda kryptering, i webbfallet specifikt HTTPS för alla resurser som hanterar känslig data.

Malware

Ett annat sätt för hackern att komma över information som lösenord är att installera malware på offrets dator, till exempel keyloggers. En keylogger finns både som hård- och mjukvara och loggar den information som en användare matar in via tangentbord eller liknande enheter.

En keylogger avsedd för ett PC-tangentbord kan bestå av en hårdvaruenhet som kopplas in mellan tangentbordet och datorn, och som sedan spelar in allting som sänds från tangentbordet till datorn. Denna typ av enheter är lättillgängliga och går att köpa över disk. Hårdvarubaserade enheter kräver fysisk tillgång till datorn eller tangentbordet för att kunna installeras.

Keyloggers kan också vara mjukvara som installeras på måldatorn och avlyssnar tangetbordstryckningar. Mjukvarukeyloggers är vanligen en komponent i malwareprogram som sprids som annan skadlig kod, ofta via mail, sms och sociala medier, och installeras sedan utan att användaren märker något. Flera typer av skadlig kod har skapats endast för att fånga upp lösenord, allt från lösenord relaterade till datorspel till bank- eller ehandelskonton.

Så gör du hackerns jobb svårt

Trots att det finns många tillvägagångssätt för någon att komma över ditt lösenord kan du med enkla medel försämra angriparens odds avsevärt. Här följer några tips:

Använd en password manager

I och med att vi får allt fler konton med separata lösenord att hantera, så är det en rekommendation att använda en password manager. Med ett sådant program kan du generera unika och säkra lösenord, som sparas i ett krypterat valv. Programmen har stöd för de vanligaste webbläsarna och ser till att hålla reda på dina komplexa lösenord åt dig. På så vis behöver du bara komma ihåg ett lösenord, det till din password manager, men det innebär också att du behöver skapa ett väldigt starkt lösenord för din password manager och behandla det med stor försiktighet.

Slå på tvåfaktorsautentisering

Ett effektivt sätt är att undvika att få sina konton hackade är att använda tvåfaktorssautentisering, som många tjänster erbjuder idag. Tvåfaktorsautentisering innebär ett extra krav utöver ditt lösenord som visar på att du verkligen är du.

Tvåfaktorsautentisering kräver ”något du vet” som ditt lösenord och ”något som du äger” exempelvis din telefon.

Oftast fungerar funktionen så att när du har skrivit in det korrekta lösenordet så skickas en verifikationskod till dig via SMS eller så kan du använda en genererad kod i en app. Efter att ha fyllt i en korrekt kod tillåts du logga in på kontot. Om du inte vill slå på tvåfaktorsautentsiering på alla dina konton, så bör du åtminstone slå på det på ditt primära mailkonto. Detta är ofta det viktigaste kontot, eftersom det kan användas för att återställa lösenord till andra tjänster som är kopplade till mailadressen.

Unika lösenord

Genom att ha unika lösenord säkerställer du att ett dataintrång eller slarv någonstans inte drabbar dina andra konton. Tyvärr är det vanligt att lösenord återanvänds. I Sentors undersökning ”Svenskarnas syn på IT-säkerhet 2017” uppgav ungefär var fjärde att de återanvände lösenordet de använder till sitt mailkonto.

Långa lösenord

Ju längre ett lösenord är, desto svårare är det i regel att gissa eftersom datorn då måste generera fler gissningar. I Sentors rapport uppger ungefär var tredje att de bara använder 1-8 tecken i sitt lösenord. Då bör man känna till att ett enklare lösenord på upp till 8 tecken kan knäckas på väldigt kort tid av någon med rätt verktyg och datakraft i offlinemiljö.

Ett bra sätt att göra långa lösenord utan att de blir för svåra att komma ihåg är att bygga dem i form av en mening eller fyra slumpmässiga ord.

För att testa hur motståndskraftigt ett lösenord är kan du använda olika tjänster på nätet, ett exempel är Haystack, som ger dig ett estimat över hur lång tid det tar för ett lösenord att knäckas av en brute force-attack. ”1ganskaLångtLösen” beräknas till exempel ta miljarder gånger universums livslängd att knäcka även om man använder betydligt mer kapacitet än någon enskild har tillgång till idag. Tänk dock på att aldrig uppge ditt verkliga lösenord i den här typen av tjänster på nätet.

Följ inte standardmodellen

Många tjänster och företag har lösenordspolicys som kräver att lösenordet ska innehålla minst en stor bokstav och en siffra, och ibland också specialtecken. Många väljer slentrianmässigt att börja lösenordet med stor bokstav och avsluta med siffror. Har man något specialtecken så är det ofta sist. Detta är ett välkänt fenomen, vilket gör lösenord uppbyggda på detta sätt lättare att gissa än om siffror och versaler varit placerade på andra ställen.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.