Know-how / Lösenordssäkerhet

Identiska lösenord: Riskerna med att återanvända lösenord

Ett inloggningstillfälle hackat – alla åtkomster i fara.

IT-administratörer bär huvudansvaret för att skydda system och data. En särskilt svårhanterlig risk är identiska eller återanvända lösenord. Därmed öppnar användare – ofta oavsiktligt – dörren på vid gavel för angripare till credential stuffing, kontoövertaganden och laterala rörelser i nätverket. Studier visar att användning av stulna inloggningsuppgifter hör till de vanligaste initiala angreppsvektorerna vid säkerhetsincidenter (se källor nedan).

Använd aldrig samma lösenord för olika konton.
Inga tvingande, regelbundna lösenordsbyten utan konkret anledning – använd i stället långa, unika lösenord/lösenfraser och MFA/Passkeys.
Nya och befintliga lösenord kontrollera mot komprometterade listor; i Password Depot: Verktyg → Säkerhetskontroll → Kontrollera i Pwned‑lösenord.

Risk för övergripande kompromettering

Om ett konto komprometteras testar angripare automatiskt samma inloggningsuppgifter i andra tjänster (Credential‑Stuffing). En enda läcka kan därmed utlösa en kedjereaktion – från e‑post och samarbetsverktyg till Cloud‑tjänster. Resultatet: datastöld, identitetsmissbruk och obehörig åtkomst till företagsresurser.

Särskilt kritiska är ”Basic Web Application Attacks”, där stulna eller återanvända inloggningsuppgifter dominerar – en tydlig indikation på att återanvändning av lösenord i praktiken kan utnyttjas direkt (se källor).

Ransomware och kontoövertaganden

När angripare väl har giltiga inloggningsuppgifter kan de eskalera privilegier, röra sig lateralt i nätverket och sprida skadlig kod – ända fram till distribution av ransomware. Officiella rekommendationer betonar därför: eliminera återanvändning av lösenord och phishingresistent MFA (t.ex. FIDO2/Passkeys) där det är tekniskt möjligt (CISA, NIST).

Åtgärder för att förbättra lösenordssäkerheten

Riktlinjer (policy)

Inga förebyggande, regelbundna lösenordsbyten – ska endast krävas vid misstanke om eller konstaterad kompromettering (NIST, NCSC).
Ett lösenord per konto/tjänst – förbjud återanvändning strikt (NIST, NCSC).
Öka minimilängden (t.ex. ≥ 14 tecken) och undvik onödiga komplexitetskrav; fokusera i stället på längd, unikhet och blockering av ”vanliga lösenord” (NIST).
Kontrollera lösenord mot komprometterade listor (NIST SP 800–63B) – se praktikrådet om Password Depot nedan.
Gör MFA obligatoriskt, helst phishingresistent (FIDO2/Passkeys), åtminstone för admin-, fjärr- och Cloud-åtkomst (CISA).

Tekniska kontroller

Rate limiting & Monitoring vid inloggningar; upptäck och blockera misstänkta mönster (t.ex. många inloggningsförsök från distribuerade nätverk) (NIST).
Tillåt ”Paste”/inklistra, så att lösenordshanterare kan användas säkert – inget förbud mot copy/paste i lösenordsfältet (NIST).
Riskbaserade MFA-utmaningar och konsekvent MFA-registrering ska genomdrivas (CISA).
Passkeys ska införas där det är möjligt; ersätt lösenordsinmatning på sikt.
Identifiera komprometterade lösenord: I Password Depot via Extras → Säkerhetskontroll → Kontrollera mot pwned-lösenord och ändra berörda poster omedelbart.

Praktik med Password Depot:

Öppna Extras → Säkerhetskontroll → Kontrollera mot Pwned‑lösenord, för att kontrollera sparade lösenord mot komprometterade listor.
Utför denna kontroll regelbundet – särskilt efter offentliga dataläckor eller phishingincidenter.
Byt omedelbart ut markerade lösenord mot långa, unika lösenfraser och aktivera, där det är möjligt, MFA/passkeys.

Medvetenhet & drift

Utbilda användare regelbundet om Credential‑Stuffing, phishing och återanvändning av lösenord (NCSC/CISA).
lösenordshanterare rekommendera och tillhandahålla; mål: långa, slumpmässiga, unika lösenord för varje tjänst.
Definiera incidenter (läckor, phishing, malwareinfektioner) som utlösare för omedelbart lösenordsbyte och förnyelse av token (NIST/CISA).

Kort sagt: Återanvändning är den verkliga fienden. Tvingande, regelbundna byten utan anledning försämrar lösenordens kvalitet – och löser inte problemet. Satsa på längd, unikhet, MFA/passkeys och kontroll mot komprometterade listor (t.ex. direkt i Password Depot).

Slutsats: Upprepad användning av lösenord är en betydande säkerhetsrisk och ökar risken för kontoövertaganden ända upp till ransomwareincidenter. Adminteam måste införa tydliga, aktuella riktlinjer och säkra dem tekniskt – inklusive regelbunden kontroll av komprometterade lösenord med Password Depot – för att långsiktigt skydda identiteter och system.

Källor (urval)

NIST SP 800–63B: Riktlinjer för digital identitet – lagrade hemligheter (bl.a. inga tvingande byten; kontroll mot komprometterade listor; tillåt inklistring)
CISA ”Secure Our World”: Använd starka lösenord (rekommendation om lösenordshanterare och unika lösenord)
NCSC (UK): Problem med att tvinga fram regelbundet lösenordsbyte & Varning om credential stuffing
Verizon DBIR: Rapportsida & Executive Summary (uppdateras årligen)
Have I Been Pwned: Pwned Passwords (offentlig datakälla för komprometterade lösenord)

Håll lösenorden unika

Se hur Password Depot hjälper dig att hantera varje lösenord unikt och säkert.

Tips för säkra lösenord