Close

Den ständiga diskussionen om lösenord, hur säkra och praktiska de är

Lösenord (bild av railking på SXC.hu)I dagens läge är det inte direkt enkelt att välja hur man ska bete sig med sina lösenord i och med alla ställen man behöver ett lösenord till. Sen att säkerhetsfolket är långt från ense om hur ett bra lösenord ska vara konstruerat gör inte livet lättare.

Oftast hör man grejer i stil med detta:

  • Du borde ha olika till alla tjänster man använder, eller åtminstone merparten alternativt dela upp dem i grupper.
  • Använd inga ord från en ordlista, namn på någon du känner eller något som kan knytas till dig.
  • Ha versaler och gemener blandat.
  • Stoppa in siffror och skumma specialtecken.

Ok, det finns flera sätt att få detta att fungera. Ett exempel är programmet RoboForm2Go, som man kan ha på en USB-sticka, som kommer ihåg alla skumma lösenord till webbplatser åt dig och stoppar in lösenord och användarnamn när du ska logga in.
Men hur hundra är man på att inte slarva bort den USB-stickan? Det skulle ju vara en mindre katastrof om fel person hittade den eller om programvaran hackades om man har virus i datorn.

Själv har jag tagit fram ett par rätt krångliga lösenord som jag använder om det är tjänster jag helst ser inte blir hackade, och har delat upp i grupper utifall någon får reda på mitt lösenord till Facebook så tar de sig i alla fall inte inte på min e-post för jobbet etc.
Dock hjälper ju inte denna idé mot keyloggers eller phishing som inte är direkt ovanliga idag.
Om du mot förmodan har svårt att komma på ett kvalificerat lösenord så kan denna tjänsten hjälpa dig »

Sen räcker det dessvärre inte med att jag har ett svårt lösenord om inte både jag och tjänsten jag använder gör allt för att hålla det hemligt.
Kanske var ett drygt år sedan som jag fick mitt lösenord skickat i klartext tillbaka från det stora webbhotellet Loopia i ett e-postmeddelande och på skärmen i deras kundzon [1, 2], för att inte tala om Bredbandsbolaget som skickade ut mitt lösenord i ett väldigt illa förseglat vikt papper.
Om tjänsterna inte lagrar lösenorden på ett vettigt och krypterat sätt så spelar det mindre roll om jag har ett väldigt starkt lösenord när någon kommer över det i klartext.

Det härliga med arbetsplatser är ju att de för det mesta kräver svinsvåra lösenord som lagom när man lyckats memorera skiten måste byta till ett nytt. Därav den klassiska grejen att hitta post-it-lappar under folks tangentbord med lösenordet uppskrivet.
Läste någonstans att någon hade ett lösenord som motsvarade serienumret på skärmen hos kollegan som satt mittimot i kontorslandskapet, det är ju en märklig men antagligen fungerande kompromiss mot att skriva upp det på en lapp 🙂

Sen har användbarhetsexperten Jakob Nielsen gett sig på lösenord i största allmänhet i sin kolumn i mitten av juni där han hävdar att man inte ska maskera vad som skrivs in i lösenordsfältet. Med andra ord tycker Nielsen att när man skriver in sitt lösenord så ska det stå i klartext så man kan granska det innan man skickar in för kontroll.
Jag förstår var hans idé kommer ifrån, det är ju så man vill att all annan information ska matas in. Den stora konstigheten är att han verkar lite blind när han menar att man ändå sitter i sitt egna rum, och föreslår att man vid användande exempelvis på internetcaféer skulle ha en kryssruta att kryssa om man vill ha sitt lösenord maskerat.
Förutom att massvis med folk skulle avslöja sina lösenord, åtminstone till en början, när någon leverantör inför ett sådant system så känns det mer som en grej som istället borde ställas in via webbläsaren precis som teckenstorlek för de med dålig syn. Trots allt är ju svårighet att skriva in ett lösenord vi känner till knappast något som drabbar de flesta av oss – och man kan ju tro vad man vill om Nielsens påstående att webbföretag förlorar affärer på grund av detta…

Min favoritlista med lösenord jag fått av IT-avdelningar är:

  • lotusnotes – till programmet Lotus Notes
  • abc123 – till AD:et hos en före detta arbetsgivare
  • admin – till en utdelad katalog

Har du fått några “olämpliga” lösenord och vad var det?

Läs mer om lösenordshantering

Leave a Reply

Your email address will not be published. Required fields are marked *

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.