Flera tidningar rapporterade i dagarna om en ny stor lösenordsläcka, som kallas RockYou2024, med nästan 10 miljarder olika lösenord. Verkligheten är lite annorlunda, och det finns ingen anledning att vara orolig över just den nyheten. Speciellt inte om man hanterar sina lösenord på ett bra sätt.

Vad består läckan av egentligen?

Tanken med RockYou2024 är att vara en textfil med en massa lösenord som är “riktiga” på så sätt att någon använder eller har använt dem på någon tjänst. En sådan kan man använda om man vill bryta sig in på någons konto: man använder någon form av datorprogram som helt enkelt testar lösenorden ett efter ett, och har man tur så kommer man till slut in då många lösenord återanvänds på flera tjänster.

RockYou2024 laddades upp på ett forum den 4 juli. Filen är ett försök att samla ihop flera tidigare läckor i en enda stor fil och bygger vidare på en tidigare fil: RockYou2021. Tittar man lite närmare på filen så inser man snart att den innehåller mycket skräp. Många rader inte riktiga lösenord, och många lösenord är dubletter. Det är en naturlig konsekvens av att bara sätta ihop många tidigare läckor med varierande kvalitet i en stor fil.

Det är alltså inga nya lösenord som läckt ut i RockYou2024, och listan har begränsad användbarhet då den innehåller mycket skräp utöver faktiska lösenord. Jag skulle gissa att en bråkdel av listan är användbar, och allt det som inte är användbart gör bara att listan blir svårare att använda.

Vad borde jag göra?

Oavsett om den här listan innebär en fara eller inte så bör man hantera sina lösenord på ett säkert sätt.

Alla som har konton på internettjänster bör använda någon form av lösenordshanterare. En sådan genererar starka lösenord och kommer ihåg dem åt användaren. De har tillägg till webbläsare och appar till telefoner som kan mata in det starka lösenordet automatiskt när det är dags att logga in. Många lösenordshanterare har också en funktion som gör att de kan kontrollera alla ens lösenord mot kända läckor på nätet. Det gör att man får reda på om någon sida man använder blivit hackad och om ens lösenord har läckt ut och kan då byta det.

Allt det hjälper dig att:

  • ha ett unikt lösenord per inloggning.
  • ha långa komplicerade lösenord.
  • inte behöva byta lösenord på tjänster så länge det inte finns någon anledning att tro att lösenordet läckt.

Jag själv använder Proton Pass som har alla tidigare nämnda funktioner och rekommenderas varmt. Andra alternativ är LastPass och 1password.

Det finns också en tjänst som heter have i been pwned? där man kan mata in sin epost och få reda på om någon av ens konton på nätet finns med i någon läcka. Det går också att skriva upp sig för att få epost när man dyker upp i en ny läcka.

På nätet finns det också många sidor där tanken är att man ska mata in nåt av sina lösenord och få reda på om de finns med i en läcka, men jag rekommnderar att man låter bli det, då sidan skulle kunna vara en fälla där de helt enkelt fångar in lösenordet du matar in.