DF ANALYS

Dataföringens omvärldsanalys

  • Fördjupar analysen av digitaliseringen
  • Hem
  • Analyser
  • Om DF Analys
    • Om DF Analys
  • Kontakt
Hem · Aktuellt · När ska följetongen Dåliga, läckta lösenord få ett slut?

När ska följetongen Dåliga, läckta lösenord få ett slut?

Publicerad den 9 september 2016

DFAnalys_v36_LosenordVare sig företag eller enskilda användare har visat sig förmögna att hantera lösenord på ett tillfredsställande sätt. Det finns några enkla åtgärder vi alla kan ta till nu – men på sikt krävs större förändring. Det skriver Anders Thoresson i premiären av DF Analys.

När jag matar in min e-postadress i Troy Hunts1 söktjänst Have I been pwned? dyker den upp i fem lösenordsläckor. Däribland den som drabbade Dropbox redan 2012 men fick riktigt stor uppmärksamhet först i slutet av augusti. Och varje nytt avslöjande om lösenord på drift följs av ytterligare ett.

Vad det gäller mina egna konton bekymrar det mig inte särskilt mycket. Jag har länge följt säkerhetsexperternas råd om att inte återanvända mina lösenord. Varje sajt har sitt unika, och det gör att min personliga risk med en sån här läcka är minimerad.

Så resonerade uppenbarligen inte den anställde på Dropbox vars inloggningsuppgifter kopplats till läckaget av molntjänstens användardatabas. Enligt en artikel i Techcrunch hade hen nämligen gjort det lätt för sig och återanvänt inloggningsuppgifterna till sitt konto på Dropbox i sitt Linkedin-konto. Och när LinkedIn hackades låg sedan vägen öppen in på Dropbox.

Till Techcrunch säger Patrick Heim, säkerhetsansvarig på Dropbox, att företaget nu vidtagit åtgärder för att det här inte ska upprepas. En företagslicens på lösenordshanteraren 1password ska göra det lättare för anställda att skapa starka och unika lösenord. Och obligatorisk tvåfaktorsautentisering för alla interna system ska minimera problemen med lösenord som trots det hamnar på drift.

De här åtgärderna borde sätta ribban för fler. För företag, men i stor utsträckning också privatpersoner.

Svenska nätanvändares slarv

Nyligen presenterade IIS en undersökning om svenska internetanvändares lösenordsvanor. 74 procent av de tillfrågade i enkätundersökningen vet hur de ska skapa starka lösenord. Men bara en tredjedel av de som svarat säger att de alltid använder bra lösenord till sajter de tycker är värda lite extra omtanke och skydd. Långt över hälften av de tillfrågade svarar samtidigt att de ofta eller ibland valt samma lösenord på flera tjänster. Och väldigt få använder en lösenordshanterare, det bästa hjälpmedel som för tillfället finns för att få ordning på den här oredan.

När jag är ute och föreläser om internet, integritet och det jag kallar för digitalt självförsvar för elever i grundskolan finns det inget som tyder på att insikten om att lösenord är värdehandlingar är starkare i den generation som ibland kallas för digitala infödingar. Det här är förvisso anekdotisk bevisföring, men många gånger har jag hört berättelser om högstadieelever som glatt delar med sig av sina lösenord till kompisarna. Den får dock understöd i rapporten från IIS som visar att yngre avslöjar sina lösenord för andra i högre utsträckning än äldre.

Sammantaget går det att konstatera att det är mycket arbete som återstår för att komma till rätta med situationen.

Gör vad som går nu – förändra mer på sikt

På sikt går det att hoppas på nya initiativ som ska göra inloggningar både säkrare och enklare, som Fido Alliance. Men det går också att göra saker här och nu.

Ett enkelt första steg, en vädjan till varje företag som utvecklar teknik för autentisering: Utnyttja listorna med de oftast använda lösenorden. Vi vet att “password” är ett av de vanligaste lösenorden, precis som “123456”, “abc123” och “qwerty”. Spärra dem i era system, det finns ingen anledning att användarna ska få välja de här lösenorden. Ta samtidigt tillfället i akt, utbilda de användare som försöker välja ett uppenbart svagt lösenord om riskerna. Tala inte bara om vilka krav ni ställer på ett lösenord. Tala också om varför. Och har ni inte redan funktioner för tvåfaktorsinloggning, där användarna får ett engångslösenord skickat till mobilen eller skapar det med en app när de loggar in, ordna det.

Till nätets alla användare: De flesta tjänster som vi anförtror riktigt känslig information erbjuder faktiskt redan tvåfaktorsautentisering. Facebook har det. Google. Dropbox. Microsoft. Twitter. Och så vidare. Utnyttja det! Är du på jakt efter en ny molntjänst som ska hantera känslig information för ditt företag, varför inte börja med en sökning på Two Factor Auth, en söktjänst som översiktligt visar vilka webbplatser som erbjuder 2FA och vilka som inte gör det.

Och snälla, ta till er av de uppmaningar som ständigt upprepas. Lyssna på er bank när de säger att koden som bankdosan skapar är personlig så att ni inte faller för ett Facebook-bedrägeri, till exempel.

Facebook-bedrägerierna, där ett konto först kapas och sedan används för social engineering gentemot den kapades vänner, är för övrigt ett utmärkt exempel på varför lösenordsfrågan inte bara går att se som ett personligt problem.

Dålig lösenordshygien är något som får konsekvenser för oss alla.

Slutpoäng: Vi lagrar mer känslig information bakom lösenord imorgon än vad vi gjorde igår. Uppenbarligen är varken företag eller användare lämpliga att hantera lösenord. Det behövs nya lösningar för autentisering. Och det omgående.

Text: Anders Thoresson

––––––––––––––––––––––––––––––––

1 Wired hade nyligen en kort intervju med Troy Hunt: Want to know if you’ve been hacked? Troy Hunt has all the details

Om författaren

Anders ThoressonAnders Thoresson har bevakat IT och telekom sedan 1999, först som reporter på Ny Teknik och sedan 2006 som frilans. Genom åren har hans texter bland annat publicerats i Dagens Nyheter, Dagens Industri, Forskning och Framsteg, IVA Aktuellt och Ny Teknik. Han har också skrivit flera Internetguider åt IIS och gör poddcasten Digitalsamtal. Du når Anders via hans webbplats.

Arkiverad under: Aktuellt, Analyser

Om du väljer att kommentera våra artiklar är du själv är ansvarig för innehållet. Kommentarerna omfattas inte av yttrandefrihetsgrundlagen inom utgivningsbeviset för dfanalys.se. Redaktionen förbehåller sig rätten att ta bort kommentarer som är olämpliga i enlighet med lagen om ansvar för elektroniska anslagstavlor.

Aktuella analyser

EU:s tilltro till filter är naiv

EU:s tilltro till filter är naiv

Att säga att ”inget upphovsrättsskyddat material ska få laddas upp” är en sak. Att automatisera den typen av beslut är något helt annat.

Teleoperatörerna kliver på 5g-utmanarens tåg

Det nya sättet att köpa IT

Logistik är brinnande hett just nu

Hur höjer vi den digitala kompetensen i Sverige?

 

Aktuellt

EU:s tilltro till filter är naiv

Teleoperatörerna kliver på 5g-utmanarens tåg

Det nya sättet att köpa IT

Logistik är brinnande hett just nu

Hur höjer vi den digitala kompetensen i Sverige?

När (inte om) kommer den riktigt stora säkerhetskrisen?

Fler nyheter »

Om DF Analys

DF Analys är Dataföreningens redaktionella plattform för omvärldsbevakning. Här samlar vi fördjupande veckovisa analyser, rapporter, arbetsgrupper och events till en heltäckande tjänst.
När föreningen bildades för över 65 år sedan var syftena bland annat att hålla medlemmarna uppdaterade om utvecklingen och se till att relevanta vidareutbildningar fanns tillgängliga.
Läs mer »

DF Analys Veckobrev

nyhetsbrev Vill du få tillgång till veckobrevet för DF Analys?
Bli medlem i Dataföreningen »

DF Analys

Fleminggatan 7
112 26 Stockholm
Tel 08-587 434 00
Mer kontaktinfo »

dfanalys-logotyp-footer-800
 

© DF Analys · Använder WordPress & Genesis Framework · Om cookies · Allmänna villkor · Sitemap · Logga in

DF Analys använder cookies: Läs mer