Foto: TT

Algoritmen som knäcker ditt ”säkra” lösenord

Uppdaterad
Publicerad

Trodde du att några siffror på slutet och insprängda ”hemliga tecken” gjorde dina lösenord säkra? Då får du tänka om. Forskare har lyckats lista ut ett stort antal lösenord på mindre än 100 försök genom att utnyttja dina digitala fotspår.

Att klassiska lösenord som ”semester” och ”sommarlov” innebär stora säkerhetsrisker har de flesta förstått vid det här laget. Men även mer avancerade lösenord visar sig vara enkla att forcera. Med hjälp av algoritmen TarGuess har en grupp forskare vid universiteten i Peking och Lancaster lyckats ta sig förbi ett antal olika lösenordstyper som utvalda måltavlor försökt använda för att skydda sig online. 

Usel säkerhet

De flesta lösenord, 73 procent, lyckades TarGuess överlista på 100 försök eller färre rapporterar Forbes. Ur säkehetssynpunkt är detta ett uselt betyg, oavsett om det är en människa eller en dator som lyckats göra det.

Det unika med TarGuess-algoritmen är att den är att den utför kvalificerade gissningar. I stället för att satsa på kvantitet och mata på med otaliga kombinationer för att till slut träffa rätt, använder den sig av den personliga information och digitala spår som den utvalda måltavlan lämnat efter sig på nätet och lyckas på så sätt gissa sig fram till det rätta lösenordet.

Spår på Facebook

Informationen, PII eller personally identifiable information, kan dels bestå av  uppgifter som användaren frivilligt lämnat ifrån sig på sociala medier som LinkedIn, Facebook, Twitter och Instagram. Dels från större dataintrång där uppgifter om miljontals användare stulits och hamnat i händerna på hackare.

Genom att kombinera läckt information med uppgifter på sociala medier om födelseår, skolor man gått på, examensår, intressen, musiksmak, kan TarGuess skapa sig en bild av det utvalda offret och börja gissa.

Ett exempel:

För en person som lajkar och skriver inlägg om IFK Göteborg är ”Blåvitt” ingen osannolik ingrediens i ett lösenord. Har personen tagit studenten 2005 kan talet ”05” vara ytterligare en variabel att gissa vidare ifrån. Ju mer TarGuess får veta, desto mer träffsäkra blir algoritmens gissningar. 

Nej till återbruk

Forskarstudien visar också att det är en dålig idé att väcka gamla lösenord till liv igen. Att återanvända delar av dem är inte heller särskilt smart. TarGuess ha nämligen r inga problem att  koppla ihop din mejladress med gamla lösenord, och sedan behövs inte många gissningar förrän ditt ”hemliga system” är avslöjat.  

Att byta ut vissa bokstäver mot tecken funkar inte heller för att lura algoritmen. Ett @ istället för A genomskådar TarGuess enkelt, som har ytterligare ett antal ”översättningsregler” inprogrammerade för att gissa sig förbi sådana hinder. På Telepathwords går det att testa hur lätt det är att gissa nästa bokstav i ett lösenord, men det funkar främst på engelska.

Många nollor

Majoriteten av de lösenord som TarGuess tog sig an knäcktes på mindre än 100 försök. För att ett lösenord ska betraktas som ett säkert skydd mot en webbattack ska det kunna motstå en miljon gissningar, enligt den amerikanska myndigheten Nist.

Ett  riktigt bra lösenord, som klarar av att stå emot ett riktat försök av en hackare, ska fixa en triljon gissningar. 1.000.000.000.000.000.000, eller en etta följd av 18 nollor. Dessutom måste det bytas ut med vissa mellanrum.

Svårt att hacka, men frågan är hur enkelt det blir att komma ihåg?

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.