Årets sämsta lösenord

För åttonde året i rad har det amerikanska säkerhetsföretaget Splashdata analyserat vilka lösenord som används mest. Dessa lösenord är inte bara de populäraste. De är också per definition de sämsta, eftersom det är dessa lösenord som angripare troligtvis testar först.

De tio sämsta lösenorden

Lösenordet som användes mest under 2018 (och därför är sämst att ha 2019) var sifferkombinationen 123456. Det lösenordet har hållit förstaplatsen sedan 2014 då det puttade ned password till sin nuvarande andraplats.

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 1111111
  7. 234567
  8. sunshine
  9. qwerty
  10. iloveyou

Tio-topplistan bjuder inte på några direkta överraskningar. Den enda nyheten är sunshine som inte ens fanns med bland de 50 vanligaste lösenorden 2017. Längre ned på listan hittas andra intressanta nykomlingar, till exempel donald (vars närvaro på listan lätt kan förklaras).

Se hela listan med de 100 mest använda lösenorden på Splashdatas webbplats. Om du använder något av dessa lösenord bör du omedelbart byta det. Läs mer om goda lösenordsvanor i Bli säker-boken.

Uppdatering 2021-08-28: Splashdatas webbplats är inte längre tillgänglig.

Varifrån kommer datan?

Årets lista är sammanställd av data som Splashdata har kommit över genom olika lösenordsläckor. I ett pressmeddelande skriver de att de har analyserat över fem miljoner lösenord för årets sammanställning. Merparten av de läckta lösenorden kommer från användare i Nordamerika och Västeuropa, vilket förklarar varför så många engelska ord förekommer.

Splashdata har medvetet rensat bort lösenord som kommer från porrsidor. Vi misstänker att Splashdata även har tvättat bort könsord och sexuttryck från listan, eftersom vi från andra sammanställningar vet att sådana är vanligt förekommande lösenordsval.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.

Transkribering

Det nya året är kommet och vad passar bättre än att inleda det med att kolla på vilka de sämsta lösenorden är att ha i år.

Företaget Splash Data sammanställde för åttonde året i rad de hundra vanligaste lösenorden som vi valde under det gångna året. Och de lösenorden är per definition de sämsta lösenorden att ha i år. För om en angripare försöker logga in på något av våra konton då kommer ju han eller hon börja med att testa lösenorden som är absolut vanligast. Det här är den senaste sammanställda listan.

Jag kommer inte gå igenom hela den här topp-100-listan utan jag kommer att fokusera på topp-10 och topp-25 och jag kommer att välja ut de delarna som är mest intressanta. Men vill du veta mer om den här sammanställningen och se hela topp-100-listan så finns det länkat på adressen som visas här i bild.

Men vi hoppar direkt in på listan och kollar här på plats 1. Där hittar vi [123456] och det lösenordet har varit det vanligaste och därmed sämsta lösenordet sedan 2014. Det var då det puttade ner det nuvarande andraplatslösenordet till sin andraplats. Och det lösenordordet är [password]. Du får toppbetyg för kreativt tänkande ifall du väljer password som ditt lösenord. Gör aldrig någonsin det. Sedan på plats tre, fyra, fem, sex och sju hittar vi lite olika sådana här sifferkombinationer som är ointressanta.

Nästa intressanta lösenord hittar vi på plats åtta och det är [sunshine]. Jag vet inte riktigt varför det var så vanligt förekommande 2018 men jag misstänker att det beror på att det var någon som kollade ut genom fönstret och såg att solen sken, så de valde det som sitt nya lösenord.

På plats 9 hittar vi en klassiker. Det är [qwerty] som vid en första anblick kan se bra ut men det är ett riktigt dåligt lösenord. För det är ju bara de första bokstäverna längst upp till vänster på tangentbordet.

På plats 10 hittar vi en riktig klassiker: [iloveyou]. Den brukar alltid finnas med här och den har faktiskt varken blivit mer populär eller mindre populär. Den behåller sin tiondeplats jämfört med i fjol. Ett väldigt fint lösenord att tänka på men ett riktigt dåligt lösenord ur ett säkerhetsperspektiv.

Låt oss hoppa vidare med att kolla lite på topp-25 för här finns lite intressanta godbitar. På plats 11 till exempel. Där hittar vi ett helt nytt lösenord: [princess]. Jag vet inte om det var någon prinsessa som gifte sig eller om det släpptes något nytt spel där en prinsessa återigen blev bortrövad av en stor äcklig sköldpadda. Men oavsett vad så är det plats 11.

Plats 12, där hittar vi [admin]. Använd aldrig admin. Kom ihåg den allitterationen. Använd aldrig admin. Det finns inget sammanhang där man ska välja admin som lösenord under några som helst omständigheter. Det är ofta standardlösenord på routrar liknande. Byt alltid ut det.

Plats 13, där hittar vi [welcome]. Ett väldigt trevligt lösenord och det är ett ganska symboliskt bra lösenord också, för precis som man själv välkomnar sig in genom att skriva welcome som lösenord så välkomnar man in hela världen om man har welcome som lösenord.

Sedan kommer lite fler ointressanta. Plats 16 där hittar vi [football]. Det var troligtvis något sportevenemang av något slag som jag missade.

Plats 18, där hittar vi ett lösenord som har fallit ner en bit på listan. Det är [monkey] men monkey finns fortfarande kvar på listan och det är ett sådant speciellt lösenord som alltid brukar finnas med någonstans i toppen i alla fall när vi kollar på sådana här listor. Jag vet inte varför så många väljer just monkey av alla djur. Varför väljer man monkey som lösenord? Har du en teori om det så skriv gärna i kommentarsfältet för jag begriper inte det.

På plats 20 hittar vi nästa intressanta lösenord och det är [!@#$%^&*] alltså någon som har gått ”all in” på att använda specialtecken. Specialtecken i sig gör inte alltid ett lösenord säkrare. Det blir inte säkrare per definition av att man har med specialtecken och jag själv använder aldrig specialtecken i mina lösenord om jag inte tvingas göra det. Jag brukar istället försöka ha lite längre lösenord med bara bokstäver eftersom det är lättare att skriva på ett mobiltangentbord. Men oavsett vad, det var många som valde det här lösenordet där de bara har massa specialtecken som vid en första anblick kan se bra ut men i själva verket är ett riktigt, riktigt dåligt lösenord. För det där är ju bara precis det du får ifall du håller nere shifttangenten och trycker 1, 2, 3, 4 och så vidare på ett amerikanskt tangentbord. Nej, dåligt lösenord.

Plats nummer 21 där hittar vi ett pojknamn: [charlie]. Jag vet inte varför det är där, om det var Charlie Sheen som gjorde någonting ifjol igen eller varför det finns med på listan men jag vet däremot definitivt varför plats nummer 23 är [donald]. Den Donald som syftas på där är jag väldigt, väldigt säker på vilken är.

Plats nummer 24, där hittar vi det sista intressanta lösenordet på den här topp25-listan och det är [password1]. Och här har vi ett typexempel på hur vi människor tänker. De som har valt password1 har troligtvis varit tvungna att ha med en siffra i sitt lösenord och då har de märkt att det gick inte att ha password. Vad gör jag då? Password1. Vi människor, av någon anledning, brukar lägga siffran på slutet om vi tvingas ha en siffra och vi brukar börja med siffran 1. Och precis som vi brukar tänka på det sättet så vet också angriparna om det. Om de inte kan logga in med password, då provar de password1. Ifall de en gång i tiden har kunnat logga in på vårt konto genom att använda password1 och det slutar funka, då testar de password2. Troligtvis tvingades vi byta lösenord och då är inte vi normalt sett mer svårangripna än att vi väljer att öka siffran med 1.

Att bara lägga till en siffra på slutet, det gör inte nödvändigtvis lösenord säkrare. Och det här ”jättesmarta” som vissa brukar tipsa om: att byta ut en av bokstäverna mot en siffra, till exempel byta ut o:et i password mot siffran 0, är också ett dåligt råd. För precis som vi människor lätt kan komma på det och lätt kan komma ihåg det, så vet också angriparna om det. Faktum är att password med siffran 0 är plats nummer 31. Nej, inte ett bra lösenord.

Hur ska man då göra om man vill ha bra lösenord? Det är väldigt, väldigt simpelt. Skaffa en lösenordshanterare som håller koll på alla lösenord för då kan du generera totalt nonsens. Du behöver aldrig skriva det. Du behöver aldrig komma ihåg det, utan det enda du behöver ha är din lösenordshanterare och ett enda lösenord till den lösenordshanteraren. Det kan då vara det som jag i Bli säker-boken kallar ett lösenstrunt med fördel. Ett lösenstrunt, det bara totalt nonsens till exempel [welatiocentisynt]. Det betyder absolut ingenting. Du kan gå ”full Mary Poppins” också om du vill det och välja något i stil med [supercalifragilisticexpialidocious] om du känner för det. Ta bara någonting som är totalt nonsens. Använd det som ditt lösenord och lås upp din lösenordshanterare med det. Sedan låter du lösenordhanteraren fylla i alla andra lösenord.

Vi har pratat en del om lösenordhanterare tidigare. Vi kommer säkerligen prata mer om det. Vill du veta mer om det direkt och även få en guide kring hur du använder en sådan så finns det såklart i Bli säker-boken men jag skickar också med en avslutande läxa. Jag skulle vilja att du kollar på den här listan över de 100 vanligaste lösenorden. Om du använder något av dem någonstans, då är det ditt nyårslöfte att gå in och byta. Tack.