Vikten av att använda säkra lösenord i WordPress
En kedja är aldrig starkare än dess svagaste länk sägs det, och det är även sant när det kommer till din WordPress-hemsida. Alla kan vi nog känna igen sig att de ibland skapat upp ett lite för enkelt lösenord till en användare, men har vi egentligen tänkt på vad konsekvenserna blir?
Hur enkelt är det att knäcka ett lösenord?
I WordPress och i alla andra CMS lagras lösenord hashade. Ett hashat lösenord är ditt lösenord fast man har blandat in flera andra tecken och gjort det oläsbart. På det viset går det inte att vända på funktionen för att se vad du har för lösenord. Däremot kan WordPress när du loggar in jämföra det som du skriver in i lösenord-fältet med lösenordet som den har sparat på dig, men har ingen möjlighet att se vad du faktiskt har för lösenord.
Detta är en säkerhetsfunktion som innebär att om hemsidan skulle bli hackad så kommer ditt lösenord inte på vift. Vad en hackaren måste göra för att få reda på ditt lösenord är alltså att prova att hasha andra lösenord på ett liknande vis för att se om hashen stämmer. Det kan göras på något av de här visen:
- Generera slumpmässiga lösenord, hasha dem och jämföra med ditt lösenord
- Jämföra med listor från ordböcker, ofta genom att lägga på ett par siffror och bokstäver på slutet
- Jämföra med listor på vanliga lösenord
Vad är ett säkert lösenord?
Att använda "sommar" som lösenord är knäckt på under en sekund, eftersom "sommar" förmodligen finns både i en ordbok samt bland vanliga lösenord.
Genom att lägga på siffror på slutet förlänger du tiden det tar att knäcka ditt lösenord med ett par sekunder. Det är fortfarande ingen större match att knäcka "sommar22", men om du skulle blanda ut detta med ett par siffror, versaler och specialtecken så att det blir "SomMar#28245" tar det helt klart längre tid.
Allra bäst är så klart ett lång lösenord med slumpmässiga bokstäver, siffror och tecken, t ex "kDHS(4IS%Dih7GGit!74#gui", men vem kan komma ihåg det? Ta istället 4-5 ord som du kan sätta ihop till en mening, t ex "ElefantCykelExplotionPunktering". Den meningen är ganska lätt att komma ihåg men innehåller 31 tecken med stora och små bokstäver. Den kommer inte helt gå att matcha mot en ordbok och tar därför lång tid att gissa.
Varför ska man inte återanvända lösenord?
Det är vanligt att lösenord återanvänds på flera tjänster. Men varför ska man undvika det?
Tänk dig att en tjänst som du använder blir hackad och ditt hashade lösenord kommer på vift. Är det ett enkelt lösenord kan det ganska snabbt knäckas, och eftersom många av lösenorden som läcker slutligen dyker upp på listor på internet kan du vara ganska säker på att det snart kommer att knäckas. Om du har ett unikt lösenord för varje tjänst händer inte så mycket, du behöver byta lösenord på den tjänsten och sen är allt under kontroll igen.
Men vad händer om du har återanvänt lösenordet? Det skulle då betyda att ditt lösenord har läckt till fler tjänster. Om någon kommer åt din Facebook-inloggning kan personen skriva meddelanden till dina vänner. Om någon kommer åt din mail kan den förutom att skicka mail som ser ut att komma från dig även återställa dina lösenord på andra tjänster som du använder.
Tips för att hålla dig säker
För att hålla säkerheten hög kring just lösenord kan du tänka på dessa saker:
Använd unika lösenord
Det kan vara svårt att komma ihåg unika lösenord för alla olika tjänster som man använder, men en lösenordshanterare som t ex LastPass eller 1Password kan hjälpa dig där.
Skicka inte lösenord över mail
Att skicka ett mail med lösenord är ungefär lika säkert som att skicka ett vykort. Det finns helt enkelt många som kan spionera på det på vägen. Använd dig av tjänster som t ex pwpush.com istället. Du kan också skicka lösenord över mail men be mottagaren att ändra det så snart som det kommit fram.
Skriv inte ner lösenord
Att skriva lösenordet på en lapp under tangentbordet är ganska vanligt men osäkert. Använd en lösenordshanterare om du behöver hjälp med att komma ihåg.