Vare sig företag eller enskilda användare har visat sig förmögna att hantera lösenord på ett tillfredsställande sätt. Det finns några enkla åtgärder vi alla kan ta till nu – men på sikt krävs större förändring. Det skriver Anders Thoresson i premiären av DF Analys.
När jag matar in min e-postadress i Troy Hunts1 söktjänst Have I been pwned? dyker den upp i fem lösenordsläckor. Däribland den som drabbade Dropbox redan 2012 men fick riktigt stor uppmärksamhet först i slutet av augusti. Och varje nytt avslöjande om lösenord på drift följs av ytterligare ett.
Vad det gäller mina egna konton bekymrar det mig inte särskilt mycket. Jag har länge följt säkerhetsexperternas råd om att inte återanvända mina lösenord. Varje sajt har sitt unika, och det gör att min personliga risk med en sån här läcka är minimerad.
Så resonerade uppenbarligen inte den anställde på Dropbox vars inloggningsuppgifter kopplats till läckaget av molntjänstens användardatabas. Enligt en artikel i Techcrunch hade hen nämligen gjort det lätt för sig och återanvänt inloggningsuppgifterna till sitt konto på Dropbox i sitt Linkedin-konto. Och när LinkedIn hackades låg sedan vägen öppen in på Dropbox.
Till Techcrunch säger Patrick Heim, säkerhetsansvarig på Dropbox, att företaget nu vidtagit åtgärder för att det här inte ska upprepas. En företagslicens på lösenordshanteraren 1password ska göra det lättare för anställda att skapa starka och unika lösenord. Och obligatorisk tvåfaktorsautentisering för alla interna system ska minimera problemen med lösenord som trots det hamnar på drift.
De här åtgärderna borde sätta ribban för fler. För företag, men i stor utsträckning också privatpersoner.
Svenska nätanvändares slarv
Nyligen presenterade IIS en undersökning om svenska internetanvändares lösenordsvanor. 74 procent av de tillfrågade i enkätundersökningen vet hur de ska skapa starka lösenord. Men bara en tredjedel av de som svarat säger att de alltid använder bra lösenord till sajter de tycker är värda lite extra omtanke och skydd. Långt över hälften av de tillfrågade svarar samtidigt att de ofta eller ibland valt samma lösenord på flera tjänster. Och väldigt få använder en lösenordshanterare, det bästa hjälpmedel som för tillfället finns för att få ordning på den här oredan.
När jag är ute och föreläser om internet, integritet och det jag kallar för digitalt självförsvar för elever i grundskolan finns det inget som tyder på att insikten om att lösenord är värdehandlingar är starkare i den generation som ibland kallas för digitala infödingar. Det här är förvisso anekdotisk bevisföring, men många gånger har jag hört berättelser om högstadieelever som glatt delar med sig av sina lösenord till kompisarna. Den får dock understöd i rapporten från IIS som visar att yngre avslöjar sina lösenord för andra i högre utsträckning än äldre.
Sammantaget går det att konstatera att det är mycket arbete som återstår för att komma till rätta med situationen.
Gör vad som går nu – förändra mer på sikt
På sikt går det att hoppas på nya initiativ som ska göra inloggningar både säkrare och enklare, som Fido Alliance. Men det går också att göra saker här och nu.
Ett enkelt första steg, en vädjan till varje företag som utvecklar teknik för autentisering: Utnyttja listorna med de oftast använda lösenorden. Vi vet att “password” är ett av de vanligaste lösenorden, precis som “123456”, “abc123” och “qwerty”. Spärra dem i era system, det finns ingen anledning att användarna ska få välja de här lösenorden. Ta samtidigt tillfället i akt, utbilda de användare som försöker välja ett uppenbart svagt lösenord om riskerna. Tala inte bara om vilka krav ni ställer på ett lösenord. Tala också om varför. Och har ni inte redan funktioner för tvåfaktorsinloggning, där användarna får ett engångslösenord skickat till mobilen eller skapar det med en app när de loggar in, ordna det.
Till nätets alla användare: De flesta tjänster som vi anförtror riktigt känslig information erbjuder faktiskt redan tvåfaktorsautentisering. Facebook har det. Google. Dropbox. Microsoft. Twitter. Och så vidare. Utnyttja det! Är du på jakt efter en ny molntjänst som ska hantera känslig information för ditt företag, varför inte börja med en sökning på Two Factor Auth, en söktjänst som översiktligt visar vilka webbplatser som erbjuder 2FA och vilka som inte gör det.
Och snälla, ta till er av de uppmaningar som ständigt upprepas. Lyssna på er bank när de säger att koden som bankdosan skapar är personlig så att ni inte faller för ett Facebook-bedrägeri, till exempel.
Facebook-bedrägerierna, där ett konto först kapas och sedan används för social engineering gentemot den kapades vänner, är för övrigt ett utmärkt exempel på varför lösenordsfrågan inte bara går att se som ett personligt problem.
Dålig lösenordshygien är något som får konsekvenser för oss alla.
Slutpoäng: Vi lagrar mer känslig information bakom lösenord imorgon än vad vi gjorde igår. Uppenbarligen är varken företag eller användare lämpliga att hantera lösenord. Det behövs nya lösningar för autentisering. Och det omgående.
Text: Anders Thoresson
––––––––––––––––––––––––––––––––
1 Wired hade nyligen en kort intervju med Troy Hunt: Want to know if you’ve been hacked? Troy Hunt has all the details
Om författaren
Anders Thoresson har bevakat IT och telekom sedan 1999, först som reporter på Ny Teknik och sedan 2006 som frilans. Genom åren har hans texter bland annat publicerats i Dagens Nyheter, Dagens Industri, Forskning och Framsteg, IVA Aktuellt och Ny Teknik. Han har också skrivit flera Internetguider åt IIS och gör poddcasten Digitalsamtal. Du når Anders via hans webbplats.