Rapporten om lösenordssäkerhetens läge 2025

Viktiga slutsatser från artikeln:

• NIST:s tekniska excellens: NIST ger stark teknisk vägledning som stödjer lösenordshanterare som Bitwarden, men saknar en användarvänlig presentation.

• CISA:s ledarskap inom kommunikation: CISA uppnår statusen "Utmärkt" genom att tydligt rekommendera lösenordshanterare och skapa lättillgängliga säkerhetsresurser.

• Ojämn användning: Federala myndigheter uppvisar stora skillnader i vägledning om lösenordssäkerhet och rekommendationer av lösenordshanterare.

• Positiva förbättringstrender: Fyra års analys visar att myndigheterna förbättrar sina rekommendationer om lösenordssäkerhet så att de ligger i linje med metoder som Bitwarden stödjer.

• Växande samsyn: Federala myndigheter inser i allt högre grad att lösningar som Bitwarden tillhandahåller viktig säkerhetsinfrastruktur.

De senaste åren har cybersäkerhet fått stort fokus inom USA:s federala statsförvaltning. Många myndigheter går i täten för att utbilda myndighetsorganisationer, stora och små företag samt konsumenter.

Men alla myndigheter sjunger inte samma visa när det gäller lösenordssäkerhet. En av de främsta aktörerna, National Institute of Standards and Technology (NIST), ”utvecklar cybersäkerhetsstandarder, riktlinjer, bästa praxis och andra resurser för att möta behoven hos USA:s näringsliv, federala myndigheter och den bredare allmänheten”.

På NIST:s cybersäkerhetssida står det vidare att ”vissa av NIST:s cybersäkerhetsuppdrag definieras av federal lagstiftning, presidentordrar och policyer. Till exempel kräver Office of Management and Budget (OMB) att alla federala myndigheter implementerar NIST:s cybersäkerhetsstandarder och vägledning för system som inte rör nationell säkerhet.”

Tyvärr har NIST:s rekommendationer ännu inte accepterats och implementerats av alla federala myndigheter. Även om NIST sätter standarderna som myndigheterna säger sig följa har de också en egen svaghet: en oorganiserad webbplats.

2025 är fjärde året som Bitwarden genomför denna analys. I år har NSA förbättrat sin rankning från ”Bra” till ”Mycket bra” tack vare en ny rekommendation om lösenordshanterare. CISA:s poäng har stigit från ”Mycket bra” till ”Utmärkt” genom att göra deras information enklare att komma åt och ta till sig. NIST:s webbplats är fortsatt oorganiserad, även om innehållet är mycket gediget. Genom åren har många myndigheter utvecklats i positiv riktning när det gäller rekommendationer om lösenordssäkerhet och sin övergripande cybersäkerhetsnivå, däribland CISA, FBI, FTC och SBA.

Tekniken utvecklas snabbt. För företag och privatpersoner finns numera så mycket av våra liv online i otaliga konton, från underhållningssajter till viktiga finansiella tjänster som våra bankkonton.

Den här bedömningen syftar till att engagera och utbilda alla som använder lösenord om bästa praxis från den federala regeringen och var det finns utrymme för förbättringar. Många inom den federala statsförvaltningen har ett gediget utbildningsupplägg för lösenordssäkerhet, medan andra kan behöva lite hjälp med att modernisera sig. 

Lyckligtvis växer samsynen kring bästa praxis för lösenordssäkerhet. Den här rapporten sammanställer och bedömer detaljerna.

Betygssystemet rangordnar myndigheter utifrån hur väl de följer följande kriterier:

• Rekommenderar användning av en lösenordshanterare

• Lyfter fram vikten av starka lösenord

• Anger behovet av 2FA/MFA för att ytterligare stärka lösenordssäkerheten

• De övergripande säkerhetsråden är aktuella och följer NIST:s riktlinjer

• Presenterar rekommendationer om lösenordssäkerhet på ett tydligt, lättillgängligt och lättfunnet sätt

• Rekommenderar användning av en lösenordshanterare

• Lyfter fram vikten av starka lösenord

• Anger behovet av 2FA/MFA för att ytterligare stärka lösenordssäkerheten

• Den övergripande säkerhetsrådgivningen är aktuell och följer NIST:s riktlinjer

• Presenterar inte rekommendationer för lösenordssäkerhet på ett tydligt, lättillgängligt och lättöverskådligt sätt

• Rekommenderar inte användning av en lösenordshanterare

• Lyfter fram vikten av starka lösenord 

• Anger behovet av 2FA/MFA för att ytterligare stärka lösenordssäkerheten

• Den övergripande säkerhetsrådgivningen är inte aktuell och följer inte NIST:s riktlinjer

• Presenterar inte rekommendationer för lösenordssäkerhet på ett tydligt, lättillgängligt och lättöverskådligt sätt

• Rekommenderar inte användning av en lösenordshanterare

• Lyfter fram vikten av starka lösenord

• Anger inte konsekvent behovet av 2FA/MFA för att ytterligare stärka lösenordssäkerheten

• Den övergripande säkerhetsrådgivningen är inte aktuell och följer inte NIST:s riktlinjer

• Presenterar inte rekommendationer för lösenordssäkerhet på ett tydligt, lättillgängligt och lättöverskådligt sätt

• Rekommenderar inte användning av en lösenordshanterare

• Lyfter inte fram vikten av starka lösenord

• Anger inte behovet av 2FA/MFA för att ytterligare stärka lösenordssäkerheten

• Den övergripande säkerhetsrådgivningen är inte aktuell och följer inte NIST:s riktlinjer

• Presenterar inte rekommendationer för lösenordssäkerhet på ett tydligt, lättillgängligt och lättöverskådligt sätt

Råd till myndigheter:

• Hantering av autentiserare | Lösenordshanterare

  • Använd [Tilldelning: organisationsdefinierade lösenordshanterare] för att generera och hantera lösenord; och

    • Skydda lösenorden med hjälp av [tilldelning: organisationsdefinierade kontroller].

    • För system där statiska lösenord används är det ofta en utmaning att säkerställa att lösenorden är tillräckligt komplexa och att samma lösenord inte används i flera system. En lösenordshanterare är en lösning på detta problem eftersom den automatiskt genererar och lagrar starka och olika lösenord för olika konton. En potentiell risk med att använda lösenordshanterare är att angripare kan rikta in sig på den samling lösenord som genereras av lösenordshanteraren. Därför behöver lösenordssamlingen skyddas, bland annat genom att lösenorden krypteras och samlingen lagras offline i en token.

• Referens

Råd till myndigheter:

• Ett lösenord (ibland kallat en lösenfras eller, om det är numeriskt, en PIN-kod) är ett hemligt värde som är avsett att väljas och antingen memoreras eller registreras av abonnenten. Lösenord måste vara tillräckligt komplexa och hemliga för att det ska vara opraktiskt för en angripare att gissa eller på annat sätt upptäcka det korrekta hemliga värdet. Ett lösenord är ”något du vet”.

• Kraven i detta avsnitt gäller centralt verifierade lösenord som används som oberoende autentiseringsfaktorer och skickas via en autentiserad skyddad kanal till verifieraren hos en CSP. Lösenord som används lokalt som aktiveringsfaktor för en flerfaktorsautentiserare kallas aktiveringshemligheter och behandlas i Avsnitt 3.2.10.

• Lösenord SKA antingen väljas av abonnenten eller tilldelas slumpmässigt av CSP:n.

• Om CSP:n inte tillåter ett valt lösenord eftersom det finns på en blockeringslista över vanligt använda, förväntade eller komprometterade värden (se Avsnitt 3.1.1.2), ska abonnenten SKA vara skyldig att välja ett annat lösenord. Andra komplexitetskrav för lösenord FÅR INTE ställas. En motivering till detta presenteras i Bilaga A, Lösenords styrka.

• Följande krav gäller för lösenord:

• Verifierare och CSP:er SKA kräva att lösenord är minst åtta tecken långa och BÖR kräva att lösenord är minst 15 tecken långa.

• Verifierare och CSP:er BÖR tillåta en högsta lösenordslängd på minst 64 tecken.

• Verifierare och CSP:er BÖR godta alla skrivbara ASCII-tecken [RFC20] och blanksteg i lösenord. Verifierare och CSP:er BÖR godta Unicode-tecken [ISO/ISC 10646] i lösenord. Varje Unicode-kodpunkt SKA räknas som ett enda tecken när lösenordets längd bedöms.

• Verifierare och CSP:er FÅR INTE ställa upp andra sammansättningsregler (t.ex. krav på blandningar av olika teckentyper) för lösenord.

• Verifierare och CSP:er FÅR INTE kräva att användare byter lösenord med jämna mellanrum. Dock gäller att verifierare SKA tvinga fram ett byte om det finns belägg för att autentiseraren har komprometterats.

• Verifierare och CSP:er FÅR INTE tillåta att abonnenten lagrar en ledtråd som är åtkomlig för en oautentiserad sökande.

• Verifierare och CSP:er FÅR INTE uppmana abonnenter att använda kunskapsbaserad autentisering (KBA) (t.ex. ”Vad hette ditt första husdjur?”) eller säkerhetsfrågor när de väljer lösenord.

• Verifierare SKA verifiera hela det angivna lösenordet (dvs. inte trunkera det).

• Vid behandling av en begäran om att skapa eller ändra ett lösenord SKA verifierare jämföra den tilltänkta hemligheten mot en spärrlista som innehåller kända, vanligt använda, förväntade eller komprometterade lösenord. Hela lösenordet SKA jämföras, inte delsträngar eller ord som kan ingå i det. Listan FÅR omfatta, men är inte begränsad till:

  • Lösenord från tidigare läckta datamängder

  • Ordboksord

  • Kontextspecifika ord, såsom tjänstens namn, användarnamnet och avledningar av dessa

  • Om det valda lösenordet finns på spärrlistan SKA CSP:n eller verifieraren kräva att abonnenten väljer en annan hemlighet och SKA ange skälet till avvisningen. Eftersom spärrlistan används som skydd mot brute-force-attacker och misslyckade försök frekvensbegränsas, enligt beskrivningen nedan, ska spärrlistan BÖR vara tillräckligt stor för att hindra abonnenter från att välja lösenord som angripare sannolikt hinner gissa innan försöksgränsen nås.

• Verifierare SKA ge abonnenten vägledning för att hjälpa användaren att välja ett starkt lösenord. Detta är särskilt viktigt efter att ett lösenord på spärrlistan har avvisats, eftersom det motverkar triviala ändringar av listade svaga lösenord [Blocklists].

• Verifierare SKA implementera en hastighetsbegränsningsmekanism som effektivt begränsar antalet misslyckade autentiseringsförsök som kan göras på abonnentkontot, enligt beskrivningen i Avsnitt 3.2.2.

• Verifierare SKA tillåta användning av lösenordshanterare. Verifierare BÖR tillåta sökande att använda funktionen ”klistra in” när de anger ett lösenord för att underlätta användningen. Lösenordshanterare har visat sig öka sannolikheten att användare väljer starkare lösenord, särskilt om lösenordshanterarna innehåller lösenordsgeneratorer [Managers].

• Verifierare SKA lagra lösenord i en form som är motståndskraftig mot offlineattacker. Lösenord SKA saltas och hashas med en lämplig lösenordshashningsmetod. Lösenordshashningsmetoder tar ett lösenord, ett salt och en kostnadsfaktor som indata och genererar en lösenordshash. Syftet är att göra varje lösenordsgissning dyrare för en angripare som har kommit över en fil med hashade lösenord, och därmed göra kostnaden för en gissningsattack hög eller oöverkomlig. Den valda kostnadsfaktorn BÖR vara så hög som praktiskt möjligt utan att påverka verifierarens prestanda negativt. Den BÖR höjas över tid för att ta hänsyn till ökningar i beräkningsprestanda. En godkänd lösenordshashningsmetod som publicerats i den senaste revideringen av [SP800-132] eller uppdaterade NIST-riktlinjer om lösenordshashningsmetoder BÖR användas. Den valda utdatalängden för lösenordsverifikatorn, exklusive saltet och versionsinformationen, BÖR vara densamma som längden på utdatan från den underliggande lösenordshashningsmetoden.

• Saltet SKA vara minst 32 bitar långt och väljas så att kollisioner mellan saltvärden bland lagrade hashar minimeras. Både saltvärdet och den resulterande hashen SKA lagras för varje lösenord. En referens till den använda lösenordshashningsmetoden, inklusive arbetsfaktorn, BÖR lagras för varje lösenord för att möjliggöra migrering till nya algoritmer och arbetsfaktorer. Till exempel för Password-Based Key Derivation Function 2 (PBKDF2) [SP800-132], är kostnadsfaktorn ett iterationsantal: ju fler gånger PBKDF2-funktionen itereras, desto längre tid tar det att beräkna lösenordshashen.

• Dessutom BÖR verifierare utföra en ytterligare iteration av en nycklad hashning eller krypteringsoperation med en hemlig nyckel som endast verifieraren känner till. Om den används ska detta nyckelvärde SKA genereras av en godkänd generator för slumpbitar, enligt beskrivningen i Avsnitt 3.2.12. Det hemliga nyckelvärdet SKA lagras separat från de hashade lösenorden. Det BÖR lagras och användas inom ett hårdvaruskyddat område, till exempel en hårdvarusäkerhetsmodul eller en betrodd exekveringsmiljö (TEE). Med denna ytterligare iteration blir råstyrkeattacker mot de hashade lösenorden opraktiska så länge det hemliga nyckelvärdet förblir hemligt.

• Bloggserie för cybersäkerhetsmånaden 2023

  • Myndighetsråd

    • Lösenord är fortfarande den mest använda autentiseringsmekanismen för att få åtkomst till intressanta resurser. Lösenord är den första försvarslinjen för att skydda datas konfidentialitet och integritet mot cyberbrottslingar och dataintrång. Bra, starka lösenord hjälper människor att vara säkra och privata på nätet.

• Referens

• Referens

Myndighetens råd:

• Använd starka lösenord

  • Skapa långa, slumpmässiga och unika lösenord med en lösenordshanterare för säkrare konton.

• Ett enkelt sätt att skydda dina konton

  • Enkla lösenord, som 12345, eller vanlig identifierande information, som födelsedagar och husdjursnamn, är inte säkra för att skydda viktiga konton som innehåller personuppgifter. Att använda ett lösenord som är lätt att gissa är som att låsa dörren men lämna nyckeln i låset. Svaga lösenord kan snabbt knäckas av hackare. Men det är omöjligt att komma ihåg ett unikt och starkt lösenord för varje konto!

  • Den goda nyheten är att ett av de enklaste sätten att skydda oss mot att någon loggar in på våra konton och stjäl känslig information, data, pengar eller till och med våra identiteter är att skapa och lagra starka lösenord med hjälp av en ”lösenordshanterare”.

  • Stoppa nätbrott med starka lösenord – YouTube-video skapad av CISA

• Stärk dina lösenord med tre enkla tips

• Ett starkt lösenord följer ALLA TRE av dessa tips.

  1. Gör dem långa

     • Minst 16 tecken – ju längre desto starkare! 

  2. Gör dem slumpmässiga

     • Två sätt att göra detta är:

     • Använd en slumpmässig sträng med versaler och gemener, siffror och symboler. Till exempel:

       • cXmnZK65rf*&DaaD

       • Yuc8$RikA34%ZoPPao98t

       • Ett annat alternativ är att skapa en minnesvärd fras med 4–7 orelaterade ord. Detta kallas en ”lösenordsfras”. Till exempel:

         • Bra: HorsePurpleHatRun

         • Mycket bra: HorsePurpleHatRunBay

         • Utmärkt: Horse Purple Hat Run Bay Lifting

         • Obs! Du kan använda mellanslag före eller mellan orden om du vill!

  3. Gör dem unika 

     • Använd ett annat starkt lösenord för varje konto.

     • Till exempel:

       • Bank: k8dfh8c@Pfv0gB2

       • E-postkonto: legal tiny facility freehand probable enamel

       • Konto på sociala medier: e246gs%mFs#3tv6

• PROFFSTIPS: ANVÄND EN LÖSENORDSHANTERARE

  • Det är svårt att komma ihåg alla dessa starka lösenord, och vi vill inte spara dem i en fil på en dator. Använd i stället en lösenordshanterare. Se nedan!

• Använd en lösenordshanterare

  • För de flesta är det inte möjligt att skapa och komma ihåg långa, slumpmässiga och unika lösenord för varje konto. I stället för att skriva ner dem, använd en lösenordshanterare! En lösenordshanterare är ett lättanvänt program som skapar, lagrar och till och med fyller i alla dina lösenord. Lösenordshanterare talar om när vi har svaga eller återanvända lösenord och kan skapa starka lösenord åt oss. De kan också automatiskt fylla i inloggningar på webbplatser och i appar när vi växlar mellan dem.

  • När vi använder en lösenordshanterare behöver vi bara komma ihåg ett starkt lösenord – det till själva lösenordshanteraren. (Tips: Skapa en minnesvärd, lång ”lösenordsfras” enligt beskrivningen ovan.)

  • Det finns många lösenordshanterare att välja mellan. Vissa är gratis, till exempel de inbyggda lösenordshanterarna i din webbläsare, och andra kostar pengar. Sök efter ”lösenordshanterare” hos en betrodd källa som Consumer Reports, som erbjuder ett urval av högt rankade lösenordshanterare. Läs recensioner för att jämföra alternativ och hitta ett pålitligt program som passar dig.

  • När vi använder en lösenordshanterare är det mycket mer sannolikt att vi använder ett långt, slumpmässigt och unikt lösenord på varje webbplats. Och det gör det mycket svårare för någon att stjäla vår värdefulla information!

  • PROFFSTIPS: Kontrollera om dina e-postkonton, banker, vårdgivare och andra viktiga konton tillämpar krav på starka lösenord. Om de låter dig använda ett kort lösenord eller ett ord från en ordbok, fråga dem varför. Det är din information de utsätter för risk!

  • Och glöm inte att aktivera MFA, särskilt för din e-post, dina konton på sociala medier och dina finansiella konton. 

• CISA:s tipsblad om lösenord

• Referens

Myndighetens råd:

• Inför lösenordspolicyer som kräver unika lösenord på minst 15 tecken

  • Lösenordshanterare kan hjälpa dig att skapa och hantera säkra lösenord. Skydda och begränsa åtkomsten till lösenordshanterare som används och aktivera alla säkerhetsfunktioner som finns tillgängliga i produkten, till exempel MFA.

• Referens

Myndighetens råd:

• Ökningen av antalet intrång i nätverksinfrastrukturer de senaste åren är en påminnelse om att autentisering mot nätverksenheter är en viktig faktor. Nätverksenheter kan komprometteras på grund av:

  • Dåliga lösenordsval (sårbara för brute force och lösenordssprejning)

  • Routerns konfigurationsfiler (som innehåller hashade lösenord) skickas via okrypterad e-post, eller

  • Återanvända lösenord (där lösenord som återställts från en komprometterad enhet sedan kan användas för att kompromettera andra enheter).

• Att använda enbart lösenord ökar risken för att enheter utnyttjas. NSA rekommenderar starkt multifaktorautentisering för administratörer som hanterar kritiska enheter, men ibland måste enbart lösenord användas. Att välja bra algoritmer för lösenordslagring kan göra utnyttjande mycket svårare.

• För att ge så mycket skydd som möjligt, använd starka lösenord för att förhindra att de knäcks och omvandlas till klartext. Följ en lösenordspolicy som:

  • Består av en kombination av gemener och versaler, symboler och siffror;

  • Är minst 15 alfanumeriska tecken; och

  • Inga mönster som är:

    • Ett tangentbordsmönster

    • Samma som ett användarnamn

    • Standardlösenordet

    • Samma som ett lösenord som används någon annanstans

    • Relaterat till nätverket, organisationen, platsen eller andra funktionsidentifierare

    • Direkt från en ordbok, vanliga akronymer eller lätta att gissa

• Referens

Myndighetens råd:

• Säkra och stärk dina lösenord

  • Använd unika och starka lösenord för varje onlinekonto. Om du återanvänder lösenord på flera konton kan data från alla konton exponeras om lösenordet upptäcks. Se till att ditt lösenord har tillräcklig längd och komplexitet, med en kombination av bokstäver, siffror och specialtecken. Inför där det är möjligt multifaktorautentisering med en autentiseringstoken eller app, så att ingen kan komma åt ditt konto även om ditt lösenord komprometteras. Dela aldrig lösenord och undvik att använda information som kan gissas utifrån dina sociala medieprofiler eller offentlig information.

• Referens

Myndighetens råd:

• Kriterier att beakta vid val av lösning för multifaktorautentisering: National Institute of Standards and Technologys Computer Security Resource Center uppdaterade nyligen sina ”Digital Identity Guidelines4” (SP 800-63-3). De innehåller standarddefinitioner och tilldelar tillitsnivåer för olika autentiseringslösningar. Kriterierna nedan återspeglar NIST:s krav för att säkerställa att en lösning är validerad för att stå emot ett antal vanliga angrepp. En komplett autentiseringslösning måste implementeras korrekt med hjälp av standardiserade, validerade mekanismer. Den måste också omfatta autentiserare, validerare och stödjande livscykelprocesser. Vissa kommersiella lösningar fokuserar på autentiserare och kräver att en organisation hanterar validerare och livscykelprocesser. Andra kommersiella lösningar validerar flera typer av autentiserare, hanterar flerstegsautentisering och hanterar förtroende för autentiserare från olika identitetsleverantörer till stöd för flera tjänster. Dessa kräver ofta att kunden skaffar en eller flera autentiseringslösningar och konfigurerar servrar för att acceptera intyganden från en autentiseringsserver som utför identitetsfederering. SP 800-63-3 innehåller även kriterier för identitetsfederering.

• Referens

CISA lyder under DHS

Myndighetens råd:

• President Biden har gjort cybersäkerhet, en kritisk del av Department of Homeland Securitys (DHS) uppdrag, till en högsta prioritet för Biden-Harris-administrationen på alla myndighetsnivåer.

• För att driva presidentens åtagande framåt, och för att återspegla att stärkt nationell cyberresiliens är en högsta prioritet för DHS, utfärdade minister Mayorkas en uppmaning till handling med fokus på cybersäkerhet under sin första månad på posten. Denna uppmaning till handling fokuserade på att hantera det omedelbara hotet från ransomware och på att bygga en mer robust och mångsidig arbetsstyrka.

• I mars 2021 beskrev minister Mayorkas sin bredare vision och en färdplan för departementets cybersäkerhetsarbete i ett virtuellt anförande som anordnades av RSA Conference i samarbete med Hampton University och Girl Scouts of the USA.

• Efter sin presentation deltog ministern tillsammans med Judith Batty, tillförordnad vd för Girl Scouts, i ett informellt samtal för att diskutera de tidigare aldrig skådade cybersäkerhetsutmaningar som USA för närvarande står inför. Dr Chutima Boonthum-Denecke från Hampton Universitys institution för datavetenskap presenterade ministern och ledde en frågestund som avslutade programmet.

  • Översikt över DHS:s cybersäkerhetssprinter

  • Översikt över ytterligare pågående cybersäkerhetsprioriteringar

  • Ytterligare information

• Referens

Myndighetens råd:

• Internetbaserade brott och cyberintrång blir allt mer sofistikerade, och för att förebygga dem måste varje användare av en uppkopplad enhet vara medveten och vaksam.

• Håll system och programvara uppdaterade och installera ett starkt antivirusprogram från en ansedd leverantör.

• Var försiktig när du ansluter till ett offentligt wifi-nätverk och genomför inga känsliga transaktioner, inklusive köp, när du använder ett offentligt nätverk.

• Skapa en stark och unik lösenfras för varje onlinekonto och ändra dessa lösenfraser regelbundet.

• Aktivera multifaktorautentisering på alla konton som stöder det.

• Granska e-postadressen i all korrespondens och kontrollera webbadresser noggrant innan du svarar på ett meddelande eller besöker en webbplats

• Klicka inte på något i oombedda e-postmeddelanden eller sms.

• Var försiktig med vilken information du delar i onlineprofiler och konton på sociala medier. Att dela saker som husdjursnamn, skolor och familjemedlemmar kan ge bedragare de ledtrådar de behöver för att gissa dina lösenord eller svaren på dina säkerhetsfrågor.

• Skicka inte betalningar till okända personer eller organisationer som ber om ekonomiskt stöd och uppmanar till omedelbar handling.

• Referens

Myndighetens råd:

• Låt brandväggen vara påslagen

  En brandvägg hjälper till att skydda din dator från hackare som kan försöka få åtkomst för att krascha den, radera information eller till och med stjäla lösenord eller annan känslig information. Programvarubrandväggar rekommenderas ofta för enskilda datorer. Programvaran är förinstallerad i vissa operativsystem eller kan köpas till enskilda datorer. För flera nätverksanslutna datorer ger hårdvaruroutrar vanligtvis brandväggsskydd.

• Installera eller uppdatera ditt antivirusprogram

  Antivirusprogram är utformade för att förhindra att skadliga program installeras på din dator. Om det upptäcker skadlig kod, till exempel ett virus eller en mask, arbetar det för att oskadliggöra eller ta bort den. Virus kan infektera datorer utan att användarna vet om det. De flesta typer av antivirusprogram kan ställas in för att uppdateras automatiskt.

• Installera eller uppdatera din teknik mot spionprogram

  Spionprogram är precis vad det låter som – programvara som installeras i smyg på din dator för att låta andra övervaka dina aktiviteter på datorn. Vissa spionprogram samlar in information om dig utan ditt samtycke eller visar oönskade popup-annonser i din webbläsare. Vissa operativsystem erbjuder gratis skydd mot spionprogram, och billig programvara finns lätt att ladda ner på internet eller köpa i din lokala datorbutik. Var försiktig med annonser på internet som erbjuder nedladdningsbara program mot spionprogram – i vissa fall kan dessa produkter vara falska och i själva verket innehålla spionprogram eller annan skadlig kod. Det är som att handla mat – handla där du har förtroende.

• Håll ditt operativsystem uppdaterat

  Datorers operativsystem uppdateras regelbundet för att följa tekniska krav och åtgärda säkerhetshål. Se till att installera uppdateringarna så att din dator har det senaste skyddet.

• Var försiktig med vad du laddar ner

  Att vårdslöst ladda ner e-postbilagor kan kringgå även det mest vaksamma antivirusprogrammet. Öppna aldrig en e-postbilaga från någon du inte känner, och var försiktig med vidarebefordrade bilagor från personer du känner. De kan omedvetet ha spridit skadlig kod vidare.

• Stäng av datorn

  I takt med att snabba internetanslutningar har blivit vanligare väljer många att låta sina datorer vara påslagna och redo att användas. Nackdelen är att datorer som är ”alltid på” blir mer sårbara. Utöver brandväggsskydd, som är utformat för att avvärja oönskade angrepp, bryter en avstängning av datorn effektivt en angripares anslutning – oavsett om det handlar om spionprogram eller ett botnät som använder din dators resurser för att nå andra ovetande användare.

• Referens

Myndighetens råd:

• Dina onlinekonton kan innehålla mycket av din personliga information. Skydda dem med ett starkt lösenord som är svårt att gissa och aktivera tvåfaktorsautentisering.

• När det gäller lösenord har du några alternativ:

  • Skapa ditt eget lösenord

  • Välj ett automatiskt genererat lösenord

  • Använd en lösenordshanterare

• Skapa ditt eget lösenord. Om du skapar ditt eget lösenord ska du göra det långt. Sikta på minst 15 tecken. Använd en kombination av versaler och gemener, siffror och symboler.

• Eftersom ett långt lösenord kan vara svårt att komma ihåg kan det vara enklare att använda en lösenfras. En lösenfras är en serie ord separerade med mellanslag. Om du använder en lösenfras

  • Se till att den består av slumpmässiga ord

  • Undvik vanliga fraser, sångtexter eller filmcitat som är lätta för ett hackningsprogram att gissa

  • Välj ett automatiskt genererat lösenord. Studier visar att människor inte är bra på att skapa och komma ihåg starka lösenord. Du kan låta din webbläsare eller enhet skapa ett lösenord åt dig. Här finns mer information om hur det fungerar:

    • Google Chrome

    • Mac

    • Microsoft Edge

    • Firefox

    • iPhone iOS

    • Android

• Använd en lösenordshanterare. En lösenordshanterare från tredje part kan också skapa ett starkt lösenord. Läs expertrecensioner för att hitta en välrenommerad lösenordshanterare. Se till att lösenordet till din lösenordshanterare är starkt. Och skydda det på samma sätt som du skyddar dina andra lösenord.

• Starka lösenord kan vara svåra att komma ihåg. Men din webbläsare och enhet kan spara ditt lösenord. Det kan även din lösenordshanterare. Och de kan fylla i lösenordet automatiskt nästa gång du loggar in på en webbplats eller i en app.

• Använd tvåfaktorsautentisering. Att använda ett starkt lösenord är ett viktigt steg för att skydda ditt konto mot hackare. Men även starka lösenord är sårbara för cyberattacker. Med tvåfaktorsautentisering lägger du till ett extra säkerhetslager på ditt konto. En hackare som stjäl ditt lösenord kan inte logga in på ditt konto utan den andra autentiseringsfaktorn.

• Den vanligaste typen av tvåfaktorsautentisering är en verifieringskod som du får via sms eller e-post. Denna engångskod består vanligtvis av sex eller fler siffror och upphör automatiskt att gälla.

• Säkrare typer av tvåfaktorsautentisering är en autentiseringsapp eller en säkerhetsnyckel. Välj en av dessa metoder för bättre skydd om du har möjlighet.

• Referens

Myndighetens råd:

• Se till att ditt lösenord är långt och starkt. Det innebär minst 12 tecken. Att göra ett lösenord längre är i allmänhet det enklaste sättet att göra det starkare. Överväg att använda en lösenordsfras med slumpmässiga ord så att lösenordet blir lättare att komma ihåg, men undvik vanliga ord eller fraser. Om tjänsten du använder inte tillåter långa lösenord kan du göra lösenordet starkare genom att blanda stora och små bokstäver, siffror och symboler.

• Återanvänd inte lösenord som du har använt på andra konton. Använd olika lösenord för olika konton. På så sätt kan en hackare som får tag på ditt lösenord till ett konto inte använda det för att komma in på dina andra konton.

• Använd multifaktorautentisering när det är möjligt. Vissa konton erbjuder extra säkerhet genom att kräva något utöver ett lösenord för att logga in på kontot. Detta kallas multifaktorautentisering. Det ”något extra” du behöver för att logga in på ditt konto delas in i två kategorier:

  • Något du har – till exempel en kod som du får via en autentiseringsapp eller en säkerhetsnyckel.

  • Något du är – till exempel en skanning av ditt fingeravtryck, din näthinna eller ditt ansikte.

• Överväg en lösenordshanterare. De flesta har svårt att hålla reda på alla sina lösenord. Ju längre och mer komplicerat ett lösenord är, desto starkare är det, men ett längre lösenord kan också vara svårare att komma ihåg. Överväg att lagra dina lösenord och säkerhetsfrågor i en välrenommerad lösenordshanterare. För att hitta en välrenommerad lösenordshanterare kan du söka på oberoende recensionssidor och prata med vänner och familj om vilka de använder. Se till att använda ett starkt lösenord för att skydda informationen i din lösenordshanterare.

• Välj säkerhetsfrågor som bara du kan svaret på. Om en webbplats ber dig svara på säkerhetsfrågor, undvik att ange svar som finns i offentliga register eller är lätta att hitta på nätet, till exempel ditt postnummer, din födelseort eller din mammas flicknamn. Använd inte heller frågor med ett begränsat antal svar som angripare enkelt kan gissa – till exempel färgen på din första bil. Du kan till och med använda nonsenssvar för att göra det svårare att gissa – men om du gör det, se till att du kan komma ihåg vad du använder.

• Byt lösenord snabbt om det inträffar ett intrång. Om ett företag meddelar att det har skett ett dataintrång där en hackare kan ha fått tag på ditt lösenord, byt genast lösenordet du använder hos det företaget och på alla konton som använder ett liknande lösenord.

• Referens

Myndighetens råd:

• Tidigare var den vedertagna uppfattningen att man skulle skapa lösenord med specialtecken, versaler, siffror, bokstäver och en mängd godtyckliga regler, bland annat krav på att byta lösenord flera gånger per år. Forskning visar att var och en av oss reagerade på samma sätt – vi återanvände lösenord eller skapade varianter av samma lösenord eftersom vi ombads memorera dussintals unika lösenord för varje webbplats, inloggning eller applikation.

• Våra naturliga instinkter skapade en svaghet i vår säkerhet på nätet, och cyberbrottslingar utnyttjade den. Forskning om lösenordsanvändning har visat den inneboende svagheten i att förvänta sig att användare ska memorera godtyckligt komplexa lösenord, och vikten av att använda multifaktorautentisering (MFA) för att skydda vår privata information. Viktigt är att vårt synsätt på detta område har utvecklats, och vi har identifierat följande metoder för att skydda oss bättre:

  • När du måste använda ett lösenord, använd ett längre lösenord (15 eller fler tecken) eller till och med lösenordsfraser, eftersom de ger bättre skydd än ett kortare, godtyckligt komplext lösenord. Lösenordsfraser har dessutom fördelen att de är lätta att komma ihåg.

  • Att använda MFA (till exempel en engångskod som skickas till dig via e-post eller en autentiseringsapp på din telefon) lägger till ett andra, avgörande lager som skyddar mot ett komprometterat lösenord. MFA bör aktiveras när det är tillgängligt. Det tar bara några ögonblick och ger dig sinnesro.

  • Lösenordshanterare, skyddade av ett mycket starkt och långt lösenord med MFA aktiverat, gör att vi kan skapa unika lösenord för varje webbplats utan att behöva memorera dem alla.

• Referens

Myndighetens råd:

• Att säkerställa säkerheten i våra sammankopplade globala nätverk, och i de enheter och data som är anslutna till dessa nätverk, är en av vår tids avgörande utmaningar.

• Handelsdepartementet har i uppdrag att stärka medvetenheten om och skyddet för cybersäkerhet, skydda integritet, upprätthålla allmän säkerhet, stödja ekonomisk och nationell säkerhet samt ge amerikaner bättre möjligheter att hantera sin säkerhet på nätet.

  • NIST publicerar version 1.0 av Privacy Framework

  • NIST erbjuder en snabbstartsguide för sin katalog över säkerhets- och integritetsskydd

  • Cybersäkerhetshörnan för småföretag

• Referens

• Utbilda medarbetarna i säkerhetsprinciper. Inför grundläggande säkerhetsrutiner och policyer för medarbetare, till exempel krav på starka lösenord, och fastställ lämpliga riktlinjer för internetanvändning som beskriver påföljder vid brott mot företagets cybersäkerhetspolicyer. Fastställ uppföranderegler som beskriver hur kundinformation och andra viktiga data ska hanteras och skyddas.

• Kräv att medarbetare använder unika lösenord och byter lösenord var tredje månad. Överväg att införa flerfaktorsautentisering som kräver ytterligare information utöver ett lösenord för att få åtkomst. Kontrollera med leverantörer som hanterar känsliga uppgifter, särskilt finansinstitut, om de erbjuder flerfaktorsautentisering för ditt konto.

• Referens

Myndighetens råd:

• Vilken är den främsta orsaken till dataintrång hos småföretag? Medarbetare och arbetsrelaterad kommunikation. De är direkta vägar in i era system. Utbilda medarbetarna i bästa praxis för internetanvändning. Det kan hjälpa till att förebygga cyberattacker. Andra användbara utbildningsämnen är:

  • Att känna igen nätfiskemejl

  • Att använda goda rutiner för webbsurfning

  • Att undvika misstänkta nedladdningar

  • Att aktivera autentiseringsverktyg (starka lösenord, flerfaktorsautentisering med mera)

  • Att skydda känslig information om leverantörer och kunder

• Referens

Myndighetens råd:

• Flerfaktorsautentisering (MFA) är en viktig säkerhetsåtgärd. Den verifierar en persons identitet genom att kräva mer än bara ett användarnamn och lösenord. MFA kan kräva att användare anger två eller flera av följande:

  • Något användaren vet (lösenord, fras, PIN-kod)

  • Något användaren har (fysisk token, telefon)

  • Något som fysiskt identifierar användaren (fingeravtryck, ansiktsigenkänning)

• Kontrollera med dina leverantörer om de erbjuder MFA för något av dina konton (till exempel ekonomi, redovisning, löner).

• Referens

I juli 2023 ”antog slutliga regler som kommer att kräva att börsnoterade företag redovisar både väsentliga cybersäkerhetsincidenter som de drabbas av och, årligen, väsentlig information om sin riskhantering, strategi och styrning inom cybersäkerhet.” Med tanke på SEC:s roll i att upprätthålla efterlevnad inom cybersäkerhet verkar det klokt att bedöma SEC:s egna råd om lösenordssäkerhet.

En sökning efter ”password security” på webbplatsen SEC.gov ger 10 dokument, som alla verkar vara från flera år tillbaka. Det finns en sida som ägnas åt cybersäkerhet, men den ger ganska allmänna rekommendationer som återanvänts från CISA. En riskvarning om cybersäkerhet från 2020 med titeln ”Cybersecurity: Safeguarding Client Accounts against Credential Compromise” leder till en PDF som diskuterar credential stuffing. Även om ordet ”lösenord” används genomgående nämns ”lösenordssäkerhet” inte uttryckligen. ”Starka lösenord” nämns i följande sammanhang:

Myndighetens råd:

• När företag förbereder sig för credential stuffing-attacker uppmanar OCIE:s personal företagen att överväga sina nuvarande rutiner (t.ex. MFA och andra rutiner som beskrivs ovan) och eventuella begränsningar i dessa rutiner, samt att överväga om företagets kunder och personal är korrekt informerade om hur de bättre kan skydda sina konton. Informerade kunder: De flesta företag kräver att kunder och personal skapar och använder starka lösenord. Användningen av lösenord blir dock mindre effektiv om kunder och/eller personal återanvänder lösenord från andra webbplatser. För att bli mer effektiva har vissa företag informerat och uppmuntrat kunder och personal att skapa starka, unika lösenord och att byta lösenord om det finns tecken på att deras lösenord har komprometterats.

• Referens

Det här avsnittet uppdaterades i januari 2025 och kommer att uppdateras för att återspegla den nya administrationens policyer när de blir tillgängliga.

Myndighetens råd:

• ”Jag uppmanar USA:s folk, företag och institutioner att erkänna och agera utifrån vikten av cybersäkerhet och att uppmärksamma cybersäkerhetsmånaden till stöd för vår nationella säkerhet och motståndskraft. Jag uppmanar också företag och institutioner att vidta åtgärder för att bättre skydda det amerikanska folket mot cyberhot och skapa nya möjligheter för amerikanska arbetstagare att få välbetalda cyberjobb. Amerikaner kan också vidta omedelbara åtgärder för att bättre skydda sig, till exempel genom att aktivera multifaktorautentisering, uppdatera programvara på datorer och enheter, använda starka lösenord och vara försiktiga med att klicka på länkar som ser misstänkta ut.”

• Referens

Myndighetens råd:

• Myndigheter ska säkerställa att webbplatser som kräver att allmänheten autentiserar sig är kompatibla med vanliga lösenordshanterare och får inte förhindra ”inklistring” av lösenord eller andra automatiserade, klientbaserade hjälpmedel.

• Referens

Myndighetens råd:

• ”Du behöver mer än ett lösenord för att vara säker online – och det är där multifaktorautentisering kommer in för att säkerställa att dina data skyddas bättre mot illvilliga cyberaktörer”, sade CISA:s verkställande direktör Brandon Wales. ”CISA har konsekvent uppmanat organisationer att införa MFA för alla användare för att säkerställa att kritiska data blir svårare att komma åt. Dagens symposium handlar om att samlas för att staka ut den vision som vi alla strävar efter att göra till verklighet.”

• Referens

Biden-Harris-administrationen tillkännager märkningsprogram för cybersäkerhet för smarta enheter för att skydda amerikanska konsumenter

Myndighetens råd

• FCC, som agerar med stöd av sin befogenhet att reglera enheter för trådlös kommunikation, väntas begära in offentliga synpunkter om införandet av det föreslagna frivilliga märkningsprogrammet för cybersäkerhet, som förväntas vara igång 2024. Enligt förslaget skulle programmet dra nytta av intressentledda insatser för att certifiera och märka produkter, baserat på specifika cybersäkerhetskriterier som publicerats av National Institute of Standards and Technology (NIST) och som till exempel kräver unika och starka standardlösenord, dataskydd, programvaruuppdateringar och funktioner för incidentdetektering.

• Referens

Det finns många steg du kan ta för att vara säker online, men den enklaste åtgärden med störst och mest omedelbar påverkan på din säkerhet är att använda en lösenordshanterare. Välj en plattformsoberoende lösenordshanterare med end-to-end-kryptering med zero knowledge som kan generera och lagra ett obegränsat antal unika och starka lösenord. Du kan komma igång med Bitwarden med ett gratiskonto eller välja Premium för mindre än 10 USD/år för att få avancerade funktioner.

• Visa presentationen om lösenordssäkerhetens läge