Källa: Svenska Dagbladet website 2012.02.01
I framtiden hägrar allt från smarta biometriska lösningar, nfc-chip och mobila lösningar som ska befria oss ur lösenordsträsket. Men i dag och inom det närmaste sitter vi alla fast i träsket med användarnamn och lösenord.
Användarnamn och lösenord är en billig lösning och för de flesta tillämpningar anses den vara tillräckligt säker. Men incidenter som intrången på bland annat Bloggtoppen och Sony Playstation visar att det finns anledning att ägna viss eftertanke åt sina lösenord.
– Erfarenheten från det senaste året visar att det är vanligare än man önskar. Även om det inte lagras i klartext så är krypteringen ofta så svag att de går att knäcka med ren beräkningskraft, säger Anne-Marie Eklund Löwinder, kvalitets- och säkerhetshef på .SE och en av Sveriges högst rankade säkerhetsexperter.
– Som användare har man ingen aning om hur ….. Artikeln fortsätter
en sajt hanterar sina lösenord. Därför måste man utgå från att de inte gör ett särskilt bra jobb.
Det finns ett gammalt uttryck som säger att det ideala lösenordet är ”lätt att komma ihåg, men svårt att gissa”. Ett tillägg om att det även bör vara svårt för en modern dator att räkna ut det är på sin plats.
Det behöver inte vara en stor server eller ett botnät, en tämligen ordinär speldator med dubbla grafikkort är fantastiskt duktig på sådant som att knäcka krypterade lösenord. Speciellt om det handlar om enkla lösenord.
Dessvärre är det precis den typen av lösenord vi tenderar att välja. En undersökning av de lösenord som knäcktes vid intrånget mot Sony visade att 17 procent innehöll endast siffror, 43 procent bara små bokstäver och 76 procent var åtta tecken eller kortare.
Det finns två skolor i hur man skapar ett säkert lösenord. Den ena förordar en kombination av både stora och små bokstäver samt siffror och specialtecken. Ju längre, desto säkrare. Ett sätt att skapa ett sådant är att ta något man kan komma ihåg – en fras eller ett namn – och omvandla bokstäverna till oigenkännlighet. Till exempel skulle man kunna ta The Band-trummisen Levon Helm och omvandla det till /3e3v!N_%3e3/m och om man behöver ytterligare ett lösenord upprepa det hela med Robbie Robertson eller Rick Danko. Med ett eget system för att byta ut bokstäver mot andra tecken blir det hela relativt självgående och fungerar som en ganska bra minneshjälp. Tänk bara på att inte använda samma ersättningstecken som alla andra, att låta 0 bli o och 3 bli e exempelvis.
En annan skola hävdar att det är onödigt att blanda in så många specialtecken, att det är ett system som utvecklades ur gamla begränsningar att lösenord inte fick överstiga åtta tecken och att det inte behövs. Ur ett hackarperspektiv anses en fras som H4lmstad========== vara minst lika svår att överträffa med ren beräkningskraft, men betydligt enklare att komma ihåg.
Många tjänster tillåter dessutom mellanslag i lösenord och då kan man ta fyra godtyckliga ord som inte hänger samman och skapa ett utmärkt starkt lösenord. Till exempel ”Mittwoch tandborste öppna paraboler”.
Att sajtägare slarvar med kryptering av användarnas lösenord är svårare att skydda sig emot. Det spelar ju ingen roll hur komplicerat lösenord man använder, om det ligger lättåtkomligt och i klartext på servern. Det är en viktig anledning till att man ska vara försiktig med att återanvända lösenord.
Sedan är det på sin plats att återupprepa ytterligare ett gammalt råd, att man ska se till att hålla såväl installerade program som operativsystem uppdaterade samt att man bör ha ett likaledes uppdaterat säkerhetsprogram.