Det sägs ofta att man bör byta lösenord ofta, men det är ärligt talat inte helt lätt, och jag har flera gånger hävdat att man faktiskt bara behöver 7 lösenord, tvåfaktorerautentisering och eftertanke.
Samtidigt ser vi hur inloggningsnycklar är på väg att ersätta lösenorden, och hur biometrisk autentisering blir allt vanligare– om än fortfarande i första hand på våra smarttelefoner och datorer.
Men lösenord är och kommer att fortsätta att vara det vanligaste sättet att komma åt sina onlinetjänster, mejl och så vidare. Så frågan kvarstår om vi ska ändra våra lösenord och i så fall hur ofta.
Fram till nyligen ansågs det allmänt självklart att man bör byta sitt lösenord så ofta som möjligt, helst till ett som är komplicerat och unikt. Men tiderna förändras, och det finns mycket som tyder på att säkerheten inte nödvändigtvis ökar om man byter lösenord ofta.
Det beror inte minst på program som hjälper till att komma ihåg lösenord åt oss, de så kallade lösenordshanterarna, och den tidigare nämnda tvåfaktorsautentiseringen. Med en lösenordshanterare blir det lättare att komma ihåg komplicerade lösenord, och tvåfaktorsautentisering ger ett extra lager av säkerhet för dina konton.
Det är därför vi också ser att bland annat US National Institute of Standards and Technology (NIST) och engelska National Cyber Security Center (NCSC) inte längre rekommenderar att folk måste ändra sina lösenord om inte vissa kriterier är uppfyllda.
Argumenten bakom denna attitydförändring är bland annat att NIST anser att människor tenderar att välja svagare lösenord eller hemliga frågor som är lätta att komma ihåg om de vet att de måste byta ofta.
Samtidigt skriver folk ofta ner sina nya lösenord för att komma ihåg dem, och allt som allt kan det att byta lösenord ofta försvaga den övergripande säkerheten, vilket kan verka motsägelsefullt, men erfarenheten visar att det faktiskt är så.
Så när ska du ändra ditt lösenord?
Naturligtvis finns det situationer som kan göra det nödvändigt för dig att byta lösenord.
- Ditt lösenord har varit del i en dataläcka från en onlinetjänst – du har antingen blivit meddelad direkt av tjänsten, eller kanske från någon av de onlinesajter som övervakar läckor, till exempel: Have I Been Pwned?, SpyCloud, Dehashed, Troy Hunts Pwned Passwords og Password.Leak.Checker.
- Du har ett lösenord som är svagt och lätt att gissa, t.ex. ditt barns namn, ditt husdjurs namn eller motsvarande.
- Du har återanvänt ditt lösenord i flera viktiga onlinetjänster – vilket du aldrig bör göra.
- Din enhet har äventyrats av skadlig programvara.
- Du har delat ditt lösenord med andra.
- Du har tagit bort personer från ett delat konto.
- Du har loggat in på en tjänst från en offentlig dator eller från en väns dator och använt ditt lösenord här.
Så när du ska välja ett lösenord har jag några bra tips till dig:
- Läs min blogg om de enda 7 lösenorden du behöver.
- Använd ett unikt lösenord för dina viktiga tjänster.
- Håll koll på om dina lösenord funnits med i en dataläcka.
- Använd tvåfaktorsautentisering när det är möjligt.
- Om det är möjligt, använd en inloggningsnyckel.
- Spara inte dina lösenord i en webbläsare, använd en lösenordshanterare om du behöver.