losenordssakerhet

Nej, det där är inte mitt lösenord. På allvar.

Vi får höra i tid och otid att vi måste byta lösenord,  minst en gång i månaden. Dessutom måste lösenorden vara komplicerade och vara en blandning av siffror, bokstäver och specialtecken – och helst ska vi också ha olika lösen för varje tjänst och app som vi använder, vilket innebär ett hyfsat stort antal. Problemet blir ju hur i hela friden man ska komma ihåg dem alla?

Veckan som gick handlade mycket om internetsäkerhet och lösenordshygien, en diskussion som kom igång i svallvågorna av SVT:s avslöjande om att lösenord till tio miljoner svenska konton befann sig på drift – bland dessa skolministerns och flera andra politikers – efter att populära onlinetjänster som Dropbox, Linkedin och Tumblr hackats.

Visserligen piskades oron upp till lite väl höga nivåer om man ser till den egentliga skada som de listor på användar-id:n och lösenord som SVT Dold kommit över egentligen skulle kunna ställa till med. Dels var lösenorden från de hackade användarkontona lagrade i krypterad form – att knäcka sådana är både tidskrävande och extremt processorkrävande – och dels visade sig ”hacken” ha flera år på nacken. Dropbox användardatabas kom på drift redan 2012, något som tjänstens användare i princip omgående fick reda på via mejl (jag var själv en av dem). Dessutom nollställdes alla lösenord och Dropbox införde strax efteråt tvåstegsautentisering – något alla som är det minsta måna om tryggheten online naturligtvis aktiverat sedan flera år. Med detta dubbla säkerhetslager spelar det ingen roll om någon faktiskt kommer över ditt Dropbox-lösenord – en angripare behöver därutöver ha tillgång både till din telefon och ditt upplåsta sim-kort för att komma åt dina filer.

Tvåstegsautentisering är något som de flesta av de viktigare internettjänsterna numera har som standard. Givetvis ska man ha detta aktiverat på Google, Facebook, Twitter och Tumblr liksom alla andra sajter som erbjuder möjligheten. WordPress har det tyvärr inte inbyggt ännu – men funktionen borde inte vara långt borta som en ny del i Jetpacksviten. (Jag är dock mindre benägen att installera tredjeparts-pluginer som erbjuder tvåstegslogin, av den enkla anledningen att man aldrig riktigt vet vem som utvecklar dem och hur bra koll på säkerheten de har. Eller ens vad deras syften är… )

Hur som helst. Hela lösenordsdebatten är egentligen felställd. Givetvis fungerar det inte, som så kallade säkerhetsexperter uppmanar oss, att ha olika lösenord PÅ VARENDA SAJT MAN RÅKAR BESÖKA. Den strategin är dömd att misslyckas. Ingen kan komma ihåg alla, och även om man lagrar dem i ett lösenordsprogram (som 1Password eller Keeper) kommer du garanterat inte att orka kolla upp dem i tid och otid.

Istället bör du fråga dig: Varför ska jag komma ihåg några lösenord – över huvud taget?

För i praktiken är det ju så att det enda lösenord du faktiskt måste kunna utantill är det som du har till din mejl. Och den har du förstås placerat hos Google eller någon annan av nätets tungviktare som erbjuder flera säkerhetslager och dessutom har tillräckligt med bandbredd för att stå emot massiva ddos-attacker.

Har du gjort detta, kan du i princip glömma alla andra lösenord. Behöver du logga in på Tradera eller Blocket? Beställ ett nytt lösen, det tar bara ett par sekunder att nollställa det. Och när du gör det: välj något riktigt komplicerat, något som är i det närmaste omöjligt att komma ihåg (flera webbläsare, till exempel Safari på Mac, kan föreslå knepiga lösenord om man behöver hjälp). Spara sedan lösenordet i webbläsaren, så slipper du ange det när du loggar in i framtiden. Naturligtvis gör du undantag för sajter där det går att betala med kreditkort utan extra verifiering, exempelvis Paypal. Här sparar du aldrig dina lösenord, eftersom du någon gång kommer glömma att låsa skärmen på din jobbdator, varpå din lustigkurre till kollega passar på att lägga en gigantisk beställning på toapapper med expressleverans hem till dig.

När det däremot gäller mindre ”viktiga” nättjänster – kundklubbar, nedladdningssajter, utländska nätbutiker och platser där du inte sparar känsliga personuppgifter och kreditkortsdata – kan man istället använda ett och samma lösenord. Och då ett ganska enkelt som man garanterat kommer ihåg för att slippa återställa det i tid och otid. (Detta lösenord går givetvis också att spara i webbläsaren.)

Fördelen med detta upplägg är att om – eller när – den utländska nätbutiken med tvivelaktig säkerhet får se sin användardatabas fladdra iväg mot nätets mera ljusskygga avkrokar, så vet du att det bara är ditt ”slasklösenord” som hamnat i de onlinekriminellas garn. Och lyckas de mot förmodan avkryptera det, kommer det i sig att fungera som effektiv avledningsmanöver iväg från ditt andra, supersäkra och komplicerade mejllösenord.

Slutligen – hur välja ett übersäkert mejllösen? Härskarlösenordet som ska fungera som din befästning runt det allra heligaste du har – din mejladress. Det enkla svaret är: välj något som du garanterat kommer ihåg själv, men som ingen annan skulle komma på. I mitt fall skulle jag hypotetiskt kunna utgå från min sedan flera år avlidna mammas namn, födelseår och -ort. Eftersom hon är död går det inte längre att söka efter henne i register online, vilket gör att det endast finns att hitta i gamla kyrkoböcker. Och få ens i min familj känner till vad hon hette som ogift. Känns alltså relativt svårhackat.

Hypotetiskt skulle jag alltså kunna välja lösenordet Berit_Marianne_Född_Svensson_Tvååker_Jan7_1933 för att skydda mejlen. Det är långt, det är nära nog omöjligt att gissa även för dem som känner mig bäst, och i kombination med tvåstegsautenticering  borde det vara relativt svårhackat.

(Nu var det här förvisso bara ett exempel, min mamma hette inte Svensson och även om hon gjort det hade jag väl för sjutton inte skrivit ut mitt superhemliga lösenord på en öppen blogg – vem tar ni mig för..?)

Men ni hajar  ju tanken. Och i takt med att jag börjar ansättas av dåligt minne – jag är ju inte så ung längre – kan det kanske behövas en påminnelse ovanpå allt. Låt mig därför slå ett slag för en nygammal (o)vana och gör exakt det som varenda säkerhetsexpert varnade oss för på 90-talet när vi tog våra första stapplande steg ut på internet. Skriv alltså ner lösenordstipset på en lapp och lägg den i din byrålåda. Eller i plånboken. Eller vad sjutton – sätt den på datorskärmen där hemma, så att du garanterat inte tappar bort den.

Risken att någon skulle bryta sig in i din bostad, ta lappen, tolka ledtråden korrekt och dessutom få tag i din upplåsta telefon utan att du hinner reagera torde vara ganska liten.

Dessutom spår jag en ny storhetstid för Post-it.

Intressant?

Fler om , , ,