Under dom senaste dagarna har det framkommit att ett antal tjänster haft otillräcklig säkerhet för sparade lösenord vilket gjort att många användare drabbats eftersom lösenorden används både för Twitter, mail och andra tjänster.
För att göra lösenordshanteringen säker använder man vi MD5 för att kryptera lösenorden som sparas. MD5 är en så kallad kryptografisk engångsfunktion, vilket betyder att det enbart går att gå åt ena hållet i flödet. Det går alltså inte att ta den sparade MD5 krypterade versionen av ett lösenord och få tillbaka det "riktiga" lösenordet.
När man försöker logga in krypteras lösenordet man anger med MD5 och resultatet jämförs med det sparade krypterade lösenordet. För att komma åt lösenordet måste en hackare använda sig en metod som kallas bruteforce, vilket enkelt kan beskrivas som "trial and error". Olika lösenord testas med förhoppningen att till slut hitta rätt lösenord - en långsam och omständig process.
Den enda svagheten (om än liten) med det här sättet att hantera lösenord är att om flera personer i användardatabasen har samma lösenord har de även samma krypterade version av lösenordet och behöver därför bara hackas en gång för alla konton. För att råda bot på den här bristen använder vi ett personligt "salt" som är unikt för varje användare, och på så sätt går det inte att gruppera ihop användare som har samma "riktiga" lösenord.
Trots det vill vi gå ut med följande rekommendationer för lösenord:
Lösenordet bör bestå av minst 8 tecken.
Det bör innehålla minst en gemen bokstav: a-z
Det bör innehålla minst en versal bokstav: A-Z
Det bör innehålla minst en siffra: 1-9
Det bör inte innehålla tre eller fler sammanhängande tecken från ditt användarnamn, förnamn, efternamn eller personnummer.
Det bör inte innehålla mellanslag eller bokstäverna å, ä och ö.
Använd ett unikt lösenord för 99.se
Ett bra sätt att hålla koll på dina lösenord är att använda tjänster som 1password:
https://agilebits.com/onepassword
Här byter du lösenord:
http://www.99.se/inloggning/
