8,4 miljarder ”läckta lösenord” utgör ingen risk

Ikväll rapporterar teknikmedier flitigt om en påstådd lösenordsläcka med 8,4 miljarder läckta lösenord. De benämner ”läckan” Rockyou2021, vilket är en hommage till Rockyou-lösenordslistan som vi använder i utbildnings- och demonstrationssyfte när vi visar hur lösenord knäcks. Rockyou-lösenordslistan består av lösenorden som företaget Rockyous 32 miljoner faktiska kunder hade valt, sorterade efter förekomstfrekvens. Rockyou2021 är inte alls samma sak.

Rockyou2021 är ingen ny dataläcka. Jag (Karl Emil Nikka) trodde inledningsvis att det rörde sig om en simpel kombination av lösenord från läckor genom tiderna. Se mitt svar i diskussionstråden på Säkerhetsbubblan om varför jag inte oroade mig över lösenordslistan. Säkerhetsforskaren Troy Hunt som driver den fantastiska tjänsten Have I Been Pwned? konstaterar att det faktiskt är ännu mindre allvarligt. Han skriver på Twitter att listan inte ens är en samling läckta lösenord utan bara en samling ord.

Vi människor har svårt att komma ihåg blandade tecken och väljer därför ofta lösenord som förekommer i ordlistor. Detta spelar angriparna i händerna eftersom de med lätthet kan testa vanligt förekommande ord och fraser för att se ifall vi har valt något sådant. Det är därför vi avråder från att använda lösenord som finns i ordlistor och i stället förespråkar ”lösenordstrunt” (nonsensfraser) och lösenordshanterare.

Publiceringen av Rockyou2021 innebär enbart att angripare har tillgång till en ny stor ordlista, något som på intet vis förändrar hotbilden. Som användare behöver du inte vidta någon åtgärd. Händelsen är på sin höjd en bra påminnelse om att börja använda en lösenordshanterare och att prenumerera på Have I Been Pwned?-notiser för att få en varning ifall din e-postadress dyker upp i någon riktig lösenordsläcka.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.