{"id":109815,"date":"2023-09-22T20:31:23","date_gmt":"2023-09-22T18:31:23","guid":{"rendered":"https:\/\/aixia.se\/why-your-password-mostly-doesnt-matter\/"},"modified":"2025-11-12T00:13:15","modified_gmt":"2025-11-11T23:13:15","slug":"why-your-password-mostly-doesnt-matter","status":"publish","type":"post","link":"https:\/\/aixia.se\/en\/why-your-password-mostly-doesnt-matter\/","title":{"rendered":"Why your password mostly doesn’t matter"},"content":{"rendered":"<\/p>\n

P\u00e5 senare tid har det varit mycket surr kring l\u00f6senordss\u00e4kerhet. Varje vecka \u00f6versv\u00e4mmas beslutsfattarna inom s\u00e4kerheten med r\u00e5d som “anv\u00e4nd aldrig ett l\u00f6senord som har \u00e4ventyrats”, “v\u00e4lj alltid riktigt l\u00e5nga l\u00f6senord” och den popul\u00e4ra uppfattningen att “l\u00f6senfraser kommer att r\u00e4dda oss.” Men enligt forskning som Microsoft har gjort, i kombination med den dagliga verkligheten att f\u00f6rsvara sig mot hundratals miljoner l\u00f6senordsbaserade attacker, tyder p\u00e5 att ett \u00f6verdrivet fokus p\u00e5 l\u00f6senordsregler bara \u00e4r en distraktion. De verkliga spelf\u00f6r\u00e4ndrarna \u00e4r multi-factor authentication (MFA) och effektiv hotdetektering.<\/span><\/p>\n

Trots hypen, n\u00e4r det kommer till sammans\u00e4ttning och l\u00e4ngd, spelar ditt l\u00f6senord i allm\u00e4nhet ingen roll. K\u00e4rnan i saken \u00e4r angriparens huvudm\u00e5l, som \u00e4r att stj\u00e4la l\u00f6senord f\u00f6r att f\u00e5 obeh\u00f6rig \u00e5tkomst. Det \u00e4r avg\u00f6rande att skilja mellan hypotetisk och praktisk s\u00e4kerhet. Angripare kommer bara att g\u00e5 till ytterligheter n\u00e4r det inte finns n\u00e5gra enklare alternativ, och m\u00e5let motiverar anstr\u00e4ngningen<\/span><\/p>\n

\n \"Picture2\"\n <\/div>\n

Password Spray Attacks<\/span><\/h3>\n<\/p>\n

En prim\u00e4r metod som anv\u00e4nds av angripare \u00e4r “Password Spray”-taktiken. H\u00e4r anv\u00e4nder angripare l\u00e4ttillg\u00e4ngliga anv\u00e4ndarlistor f\u00f6r att gissa l\u00f6senord \u00f6ver ett stort antal anv\u00e4ndarnamn. De s\u00e4kerst\u00e4ller att de arbetar i en takt och sprider sina f\u00f6rs\u00f6k \u00f6ver olika IP-adresser f\u00f6r att undvika uppt\u00e4ckt. Verktyg f\u00f6r denna metod \u00e4r l\u00e4ttillg\u00e4ngliga och billiga.<\/span><\/p>\n

I de senaste fallen har det observerats att de flesta angripare under en sprayattack f\u00f6rs\u00f6ker med cirka 10 l\u00f6senord. Men det fina med en l\u00f6senordsspray \u00e4r dess detekterbarhet. N\u00e4r den har uppt\u00e4ckts kan den stoppas. D\u00e4rf\u00f6r angriper angripare ett “l\u00e5gt och l\u00e5ngsamt” tillv\u00e4gag\u00e5ngss\u00e4tt, vilket g\u00f6r varje gissning av l\u00f6senord avg\u00f6rande. De utnyttjar information fr\u00e5n tidigare l\u00e4ckor f\u00f6r att skapa sina attacker.<\/span><\/p>\n

T\u00e4nk s\u00e5 h\u00e4r, om ditt l\u00f6senord inte finns med i angriparens lista \u00e4r du s\u00e4ker. De flesta angripare anv\u00e4nder liknande listor och f\u00f6rs\u00f6ker samma l\u00f6senord. N\u00e5gra exempel inkluderar “123456”, “password” och “qwerty123”.<\/span><\/p>\n<\/p>\n

Databasextraktion och dess konsekvenser<\/h3>\n<\/p>\n

Ett mindre vanligt men avg\u00f6rande \u00f6verv\u00e4gande \u00e4r hotet om databasextraktion. Extraheringsprocessen inneb\u00e4r att du tar bort en dom\u00e4nkontrollants filer eller kommer \u00e5t Azure Active Directorys molnmilj\u00f6. Det senare kr\u00e4ver mer anstr\u00e4ngning, kr\u00e4ver tillg\u00e5ng till milj\u00f6n, databasdekrypteringsf\u00f6rm\u00e5ga och, i vissa fall, Bitlocker-nyckelbrytande f\u00f6rm\u00e5gor.<\/p>\n

Men n\u00e4r angripare v\u00e4l har s\u00e4krat en databas full av hash, handlar deras n\u00e4sta drag om att skaffa en crackningsrigg. Med framsteg och s\u00e4nkta kostnader \u00e4r kraftfulla riggar nu tillg\u00e4ngliga f\u00f6r erfarna brottslingar. L\u00f6senordskn\u00e4ckningsprocessen innefattar i korthet:<\/p>\n

– Ta reda p\u00e5 reglerna f\u00f6r algoritm, salting och l\u00f6senord
– Skapa en lista \u00f6ver potentiella l\u00f6senord
– F\u00f6rs\u00f6ker alla l\u00f6senord mot m\u00e5lkontot
– Tillgripa popul\u00e4ra fraser, s\u00e5ngtexter eller andra vanliga fraser
– Brute forcering, vilket snabbt blir tr\u00e5kigt och tidskr\u00e4vande n\u00e4r l\u00f6senordsl\u00e4ngden \u00f6kar
– Salting, i det h\u00e4r fallet, s\u00e4kerst\u00e4ller att varje kontos l\u00f6senord m\u00e5ste kn\u00e4ckas individuellt
– Take-away, h\u00e4r \u00e4r att ditt l\u00f6senord, i h\u00e4ndelse av ett intr\u00e5ng, knappast spelar n\u00e5gon roll, om det inte \u00f6verstiger 12 tecken och \u00e4r helt unikt<\/p>\n<\/p>\n

Password Managers och MFA: The True Saviors<\/h3>\n<\/p>\n

I motsats till traditionella l\u00f6senordsf\u00f6rest\u00e4llningar kan l\u00f6senordshanterare g\u00f6ra en betydande skillnad genom att generera l\u00e5nga, slumpm\u00e4ssiga str\u00e4ngar. Medan de kommer med sina utmaningar erbjuder de ett f\u00f6rsvar mot brute-force attacker.<\/p>\n

\u00c4nd\u00e5 \u00e4r det mest potenta f\u00f6rsvaret multifaktorautentisering. MFA minskar avsev\u00e4rt chanserna f\u00f6r kontokompromettering. Med tekniska framsteg som leder till b\u00e4ttre n\u00e4tfisketekniker och mer robusta crackningsriggar \u00e4r det tydligt att framtiden ligger i kryptografiskt s\u00e4kra referenser kopplade till klienth\u00e5rdvara.<\/p>\n

Det \u00f6vergripande temat h\u00e4r \u00e4r att \u00e4ven om ditt l\u00f6senord kanske inte spelar s\u00e5 stor roll som tidigare trott, s\u00e5 g\u00f6r MFA det. MFA minskar sannolikheten f\u00f6r en kompromiss med mer \u00e4n 99,9 %. Allt eftersom tekniken fortskrider m\u00e5ste vi v\u00e4nda oss mot s\u00e4krare referenser, som FIDO2, f\u00f6r att s\u00e4kerst\u00e4lla att vi inte bara f\u00f6rlitar oss p\u00e5 l\u00f6senord.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

P\u00e5 senare tid har det varit mycket surr kring l\u00f6senordss\u00e4kerhet. Varje vecka \u00f6versv\u00e4mmas beslutsfattarna inom s\u00e4kerheten med r\u00e5d som “anv\u00e4nd aldrig ett l\u00f6senord som har \u00e4ventyrats”, “v\u00e4lj alltid riktigt l\u00e5nga […]<\/p>\n","protected":false},"author":2,"featured_media":109811,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[60,70,77],"tags":[],"class_list":["post-109815","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-linnea-angstrom-en","category-techblog"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/posts\/109815","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/comments?post=109815"}],"version-history":[{"count":15,"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/posts\/109815\/revisions"}],"predecessor-version":[{"id":120516,"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/posts\/109815\/revisions\/120516"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/media\/109811"}],"wp:attachment":[{"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/media?parent=109815"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/categories?post=109815"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aixia.se\/en\/wp-json\/wp\/v2\/tags?post=109815"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}