Lösenordssäkerhet

Lösenordet är fortfarande den vanligaste nyckeln till ditt digitala liv – e-post, bank, sociala medier och arbetsverktyg skyddas alla bakom det. Ändå är de vanligaste lösenorden i Sverige fortfarande varianter på "123456", "lösenord" och namn med ett födelseår.

Vad gör ett lösenord starkt?

Styrkan i ett lösenord mäts i hur lång tid det tar för en angripare att knäcka det med en brute force-attack. Tre faktorer avgör:

• Längd – det enskilt viktigaste. Varje extra tecken multiplicerar antalet möjliga kombinationer exponentiellt.
• Komplexitet – blandning av stora och små bokstäver, siffror och specialtecken.
• Slumpmässighet – lösenordet får inte följa förutsägbara mönster.

Tre metoder

Metod 1: Lösenfrasen (rekommenderas)

Välj fyra till sex slumpmässiga ord och sätt ihop dem: "korrekt-häst-batteri-häftklammer". Det är lätt att komma ihåg, extremt svårt att knäcka.

Metod 2: Förkortningsmetoden

Ta en mening du minns: "Jag köpte min första cykel 1998 i Göteborg!" – ta första bokstaven i varje ord: "JkmFc1998iG!". Starkt, unikt och minnesvärt.

Metod 3: Slumpgeneratorn

Använd en lösenordshanterare för att generera helt slumpmässiga lösenord som "kT9#mXv2&pLq". Du behöver aldrig komma ihåg det – verktyget gör det åt dig.

Vanliga misstag att undvika

• Återanvända lösenord – ett intrång på en sida ger angriparen tillgång till alla dina konton (credential stuffing). Läs mer om hur angripare utnyttjar detta i vårt test om phishing och social engineering.
• Lätta variationer – "Sommar2023", "Sommar2024" är för förutsägbart.
• Personlig information – namn, födelsedag, husdjur är det första en angripare provar.
• För korta lösenord – under 12 tecken är generellt otillräckligt 2025.

Checklista: Ditt lösenord är starkt om...

• Det är minst 14 tecken långt
• Det innehåller blandade teckentyper eller är en lång lösenfras
• Det inte innehåller personlig information
• Det är unikt – används bara på denna tjänst

De flesta av oss har dussintals konton online. Att komma ihåg unika, starka lösenord för varje är en omöjlig uppgift – vilket är exakt anledningen till att lösenordshanterare finns.

Hur fungerar en lösenordshanterare?

En lösenordshanterare lagrar alla dina lösenord i ett krypterat valv. Du skyddar valvet med ett enda starkt masterlösenord. Programmet kan sedan automatiskt fylla i lösenord på webbsajter och appar, och generera nya starka lösenord. Krypteringen sker lokalt på din enhet (zero-knowledge architecture) hos de bästa tjänsterna.

De ledande alternativen 2025

• Bitwarden – Öppen källkod, gratis för privatpersoner med synkronisering, Premium ca 10 USD/år. Bäst för de flesta.
• 1Password – Polerat gränssnitt, resläge (Travel Mode), familjeplan. Ca 3–5 USD/mån. Bäst för familjer och team.
• Proton Pass – Från schweiziska Proton, stark integritetspolicy, inkluderar e-postalias. Bäst för integritetsmedvetna.
• Apples/Googles inbyggda – Bekväma men ekosystemlåsta. Tillräckliga för enkla behov.

Är lösenordshanterare säkra?

Den vanligaste invändningen är: "Tänk om de hackas?" LastPass-intrånget 2022 visade att det kan hända – men angriparna fick bara krypterade valv de inte kan öppna utan masterlösenordet.

Kom igång på 10 minuter

1. Ladda ned Bitwarden (gratis) på bitwarden.com
2. Skapa ett konto med ett starkt masterlösenord – skriv ned det och förvara fysiskt säkert
3. Installera webbläsartillägget
4. Importera befintliga lösenord från din webbläsare
5. Aktivera 2FA för Bitwarden-kontot självt – se vår guide om tvåfaktorsautentisering

Föreställ dig att ditt lösenord läckt vid ett dataintrång. Med enbart lösenordsskydd är ditt konto nu öppet. Med 2FA aktiverat är det ändå skyddat – angriparen behöver en andra faktor du kontrollerar fysiskt.

Vad är tvåfaktorsautentisering?

2FA kräver att du verifierar din identitet med två separata faktorer:

• Något du vet – ditt lösenord
• Något du har – din telefon, en säkerhetsnyckel
• Något du är – fingeravtryck, ansiktsigenkänning

Typer av 2FA – svagast till starkast

SMS-kod (svag, men bättre än ingenting)

En engångskod skickas via SMS. SIM-swapping-attacker och SS7-sårbarheter gör SMS till den svagaste 2FA-metoden. Aktivera ändå alltid om det är det enda alternativet.

Autentiseringsapp (rekommenderas)

Appar som Google Authenticator, Authy eller Aegis genererar tidbaserade engångskoder (TOTP) som förnyas var 30:e sekund. Koden genereras lokalt – ingen nätverkskommunikation krävs.

Hårdvarunyckel (starkast)

Fysiska nycklar som YubiKey (från 350–600 kr) ansluts via USB eller NFC. Omöjlig att phisha på distans. Rekommenderas för konton med extra högt skyddsvärde.

Vilka konton bör ha 2FA?

• Prioritet 1: E-post och lösenordshanteraren
• Prioritet 2: Bank och Swish, sociala medier
• Prioritet 3: Alla övriga tjänster som stödjer det

Backup-koder: Spara dessa utanför digitala enheter – du behöver dem om du förlorar telefonen.