Lösenord – definition, typer och säkerhetstips

Lär dig vad lösenord är, vilka typer som finns och praktiska säkerhetstips för starka lösenord, skydd och hantering för bättre digital säkerhet.

Ett lösenord är ett sätt att autentisera sig och bekräfta att en användare är den hen utger sig för att vara. Eftersom lösenord ofta är den enda faktorn som skiljer åt behöriga och obehöriga måste det hållas hemligt och hanteras säkert. Lösenord kan vara statiska — det vill säga oförändrade tills användaren aktivt byter dem — eller dynamiska, där värdet ändras regelbundet, till exempel ett engångslösenord som bara kan användas en gång.

Vad är lösenordets ursprung?

Lösenord användes tidigt i organiserade grupper. Redan inom militären användes lösenord för att avgöra om någon var vän eller fiende, särskilt i situationer med dålig sikt eller nattliga förflyttningar. Principen — att en hemlig signal skiljer betrodda från icke-betrodda — lever kvar i dagens digitala system.

Typer av lösenord och autentiseringsmetoder

• Statiska lösenord: Ett fast lösenord som används upprepade gånger tills det byts.
• Dynamiska lösenord: Lösenord som ändras ofta, exempelvis engångslösenord (engångslösenord som) eller tidsbaserade koder.
• Biometriska metoder: Alternativ till lösenord är exempelvis fingeravtrycksläsare och ansiktsdetektering, som baseras på fysiologiska egenskaper.
• Flerfaktorsautentisering (2FA/MFA): Kombinerar något du vet (lösenord) med något du har (mobil kod, säkerhetsnyckel) eller något du är (biometri).

Hur moderna lösenord ser ut

Dagens lösenord består ofta av en blandning av tecken, bokstäver och siffror. Många system kräver ett minsta antal tecken — vanligtvis mellan sex och åtta, men rekommendationen har från säkerhetssynpunkt rört sig uppåt till minst 12 tecken eller bättre en längre passfras. Vissa webbplatser tillåter endast bokstäver och siffror och förbjuder specialtecken på tangentbordet, medan andra uppmuntrar en kombination av stora och små bokstäver, siffror och specialtecken för att öka lösenordets styrka.

Vanliga attacker mot lösenord

• Brute force: Angripare testar systematiskt många kombinationer tills rätt lösenord hittas.
• Ordboksattacker: Gissning med vanliga ord, namn eller fraser.
• Phishing: Bedrägliga mejl eller webbplatser som lurar användare att lämna ifrån sig sina lösenord.
• Keyloggers och skadlig kod: Program som fångar tangenttryckningar eller stjäl inloggningsuppgifter.
• Dataintrång och dataläckor: Hashade eller okrypterade lösenord från tjänster kan läckas och återanvändas av angripare.

Säkerhetsteknik: kryptering kontra hashing

Kryptering är översättningen av data så att bara de med rätt nyckel kan läsa dem. Krypterade strängar kan dekrypteras med nyckeln. Hashing däremot är en envägsfunktion — den tar en godtycklig indata och ger en fast längd utdata; processen är avsedd att vara oåterkallelig. I moderna system bör lösenord aldrig lagras i klartext: istället lagras en saltad och beräkningsintensiv hash (t.ex. Argon2, bcrypt, scrypt eller PBKDF2) så att även vid läcka blir det mycket svårt för angripare att återställa ursprungslösenordet.

Praktiska säkerhetstips

• Använd långa lösenord eller passfraser: Minst 12–16 tecken rekommenderas; bättre är en unik passfras med flera ord.
• Välj unika lösenord för varje tjänst: Återanvänd inte lösenord mellan olika konton.
• Använd en lösenordshanterare: De genererar och lagrar långa, slumpmässiga lösenord säkert så att du slipper komma ihåg dem själv.
• Aktivera flerfaktorsautentisering: Lägg till en extra faktor (SMS, autentiseringsapp eller säkerhetsnyckel) där det går.
• Undvik personlig information: Använd inte namn, födelsedatum eller andra uppenbara mönster som enkelt kan gissas.
• Uppdatera regelbundet vid misstanke om kompromettering: Byt lösenord om du fått meddelande om läcka eller misstänker obehörig åtkomst.
• Var vaksam mot phishing: Kontrollera avsändaradresser och slå aldrig in lösenord på misstänkta sidor.

Policy och rekommendationer för organisationer

• Använd policyer som kräver unika inloggningar, tvåfaktorsautentisering och regelbunden granskning av åtkomsträttigheter.
• Lagra aldrig lösenord i klartext — använd saltade, långsamma hashing-algoritmer.
• Implementera skydd mot brute-force (t.ex. rate limiting, kontolåsning efter upprepade misslyckade inloggningsförsök).
• Erbjud och uppmuntra användning av lösenordshanterare och utbilda användare om social engineering.

Om ett lösenord blir komprometterat

Om du misstänker att ett lösenord läckt ut bör du omedelbart byta det, särskilt om samma lösenord används på flera tjänster. Kontrollera om tjänsten erbjuder sessionhantering så att du kan logga ut alla enheter, och aktivera flerfaktorsautentisering. Övervaka kontot för ovanlig aktivitet och, vid större intrång, följ tjänstens instruktioner och överväg att meddela berörda parter.

Sammanfattningsvis är lösenord en grundläggande del av digital säkerhet. Med moderna metoder — långa, unika lösenord eller passfraser, lösenordshanterare, flerfaktorsautentisering och korrekt hantering på serversidan (saltade och långsamma hashfunktioner) — kan risken för obehörig åtkomst minskas avsevärt.

Frågor och svar

F: Vad är ett lösenord?

F: Varför är det viktigt att hålla lösenord hemliga?

F: Vad innebär det att ett lösenord är statiskt?

F: Vad innebär det att ett lösenord är dynamiskt?

F: Vilken typ av dynamiskt lösenord kan bara användas en gång?

Sök med bokstav