Identiska lösenord: Riskerna med att återanvända lösenord

Ett inloggning hackat – alla åtkomster i fara.

IT-administratörer bär huvudansvaret för att skydda system och data. En särskilt svår risk är identiska eller återanvända lösenord. På så sätt öppnar användarna – ofta oavsiktligt – dörren för angripare som vill stjäla inloggningsuppgifter, ta över konton och röra sig lateralt i nätverket. Studier visar att användning av stulna inloggningsuppgifter är en av de vanligaste initiala vektorerna vid säkerhetsincidenter (se källor nedan).

Risken för övergripande kompromettering

Om ett konto komprometteras testar angripare automatiskt samma inloggningsuppgifter på andra tjänster (Credential‑Stuffing). En enda läcka kan därmed leda till en kedjereaktion – från e-post och samarbetsverktyg till molntjänster. Resultat: Datastöld, identitetsmissbruk och obehörig åtkomst till företagets resurser.

Särskilt kritiska är ”grundläggande webbapplikationsattacker”, där stulna eller återanvända inloggningsuppgifter dominerar – ett tydligt tecken på att återanvändning av lösenord i praktiken kan utnyttjas omedelbart (se källor).

Ransomware och kontoövertaganden

När angripare väl har giltiga inloggningsuppgifter kan de utöka sina privilegier, röra sig lateralt i nätverket och sprida skadlig programvara – ända till att distribuera ransomware. Officiella rekommendationer betonar därför: Eliminera återanvändning av lösenord och aktivera phishing-resistent MFA (t.ex. FIDO2/Passkeys) där det är tekniskt möjligt (CISA, NIST).

Åtgärder för att förbättra lösenordssäkerheten

Riktlinjer (policy)

  • Inga förebyggande, regelbundna lösenordsbyten – tvinga endast fram vid misstanke om eller bevis för kompromettering (NIST, NCSC).
  • Ett lösenord per konto/tjänst – förbjud återanvändning strikt (NIST, NCSC).
  • Öka minimilängden (t.ex. ≥ 14 tecken) och undvik onödiga komplexitetskrav; satsa istället på längd, unikhet och spärrning av ”vanliga lösenord” (NIST).
  • Kontrollera lösenord mot komprometterade listor (NIST SP 800‑63B) – se praktisk anmärkning om Password Depot nedan.
  • MFA obligatoriskt, helst phishing-resistent (FIDO2/Passkeys), åtminstone för administratörs-, fjärr- och molnåtkomst (CISA).

Tekniska kontroller

  • Aktivera hastighetsbegränsning och övervakning vid inloggningar; upptäck och blockera misstänkta mönster (t.ex. många inloggningsförsök från distribuerade nätverk) (NIST).
  • Tillåt ”klistra in” så att lösenordshanterare kan användas på ett säkert sätt – inget förbud mot kopiera/klistra in i lösenordsfältet (NIST).
  • Riskbaserade MFA-utmaningar och konsekvent MFA-registrering (CISA).
  • Passkeys införs där det är möjligt; ersätter lösenordsinmatningar på sikt.
  • Identifiera komprometterade lösenord: Kontrollera i Password Depot via Extras → Säkerhetskontroll → Kontrollera i Pwned-lösenord och ändra omedelbart berörda poster.

Medvetenhet och drift

  • Utbilda användarna regelbundet i credential stuffing, phishing och återanvändning av lösenord (NCSC/CISA).
  • Lösenordshanterare rekommenderas och tillhandahålls; mål: långa, slumpmässiga, unika lösenord per tjänst.
  • Incidenter (läckor, phishing, malware-angrepp) definieras som utlösare för omedelbar lösenordsändring och tokenförnyelse (NIST/CISA).
Klartext: Återanvändning är den verkliga fienden. Tvingade, regelbundna byten utan anledning försämrar lösenordens kvalitet – och löser inte problemet. Satsa på längd, unikhet, MFA/passnycklar och kontroll mot komprometterade listor (t.ex. direkt i Password Depot).

Slutsats: Upprepad användning av lösenord är en betydande säkerhetsrisk och underlättar allt från kontoövertaganden till ransomware-incidenter. Administratörsteam måste implementera tydliga, aktuella riktlinjer och säkerställa dem tekniskt – inklusive regelbunden kontroll av komprometterade lösenord med Password Depot – för att skydda identiteter och system på lång sikt.

Källor (urval)