Tag Archives: krypterad

Lösenord-schmösenord

Bytte du lösenord i söndags? Hoppas det. Säkra lösenord som byts regelbundet och inte går till mer än helst en tjänst är egentligen det enda vettiga sättet att skydda sin information idag. Sen behöver man kanske inte byta bara för att byta..

Men det finns inneboende svagheter i lösenordssystem, och det är att det egentligen inte är en särskilt säker metod för att skydda information. Lösenord har använts i datorsammanhang sedan 60-talet och de går att knäcka oavsett hur ”säkra” och krypterade de är. I vissa fall är det opraktiskt eller tar extremt lång tid, men det går. Dessutom har de en tendens att läcka ut, eftersom det är människor som bygger upp och hanterar databaserna som lagrar dem.

(Det finns två bra sätt att komma runt det här som är ganska vanligt idag. Antingen lägger man in en paus mellan inloggningsförsöken. Den märks knappt, men om man använder ett program för att knäcka ett lösenord så tar det plötsligt väldigt mycket längre tid. En ännu hårdare variant är att begränsa antalet möjliga inloggningsförsök.)

Biometri, då? Det är redan etablerat. Till exempel HP har kört med fingeravtrycksläsare i många av sina bärbara datorer i flera år. Det kan vara praktiskt och enkelt både för att logga in på själva datorn och på webbsidor genom att koppla sidans lösenord till fingeravtrycket.

Frågan är vad som sker när den här informationen kommer ut. När bilder av din iris eller ett fingeravtryck har läckt ut från ett osäkert system, vad gör du då? Laseropererar nya fingeravtryck? Kommer man hitta pastebin-dumpar med fingeravtryck i framtiden, som vi idag gör för lösenord och användarnamn?

Lösenord schmösenord_bild

Jag har svårt att se att biometri kommer att kunna leverera en bra helhetlösning. Det finns några biometriska principer som är mer lovande än andra som t.ex. keystroke-analys. Anledningen till att jag tycker om dem är att de bygger på fler parameterar: analys av HUR du knappar in ditt lösenord – hur snabbt, starkt etc. trycker du på tangenterna? – och även om själva lösenordet. Här tror jag att vi kan hitta sanningen: tvåstegsautentisering. biometri eller ej, två steg ska det bli.

Just detta med två steg i autentiseringen höjer säkerheten till helt andra nivåer. Metoden används som bekant av banker, där man verifierar med hjälp av olika koder som bollas mellan webbsida och en personlig dosa. Kommer någon åt koden har de inte dosan, och har de dosan saknar de sannolikt koden.

I söndags skrev Swedroid om Googles önskan att ersätta lösenord som inloggning på sidor med något nytt och bättre. Förslaget i den texten är någon form av hårdvara som man tar med sig och som låser upp webbsidor automatiskt när den sitter i en port på datorn. En bekväm lösning och fördel med en hårdvarunyckel är att man vet när den är borta och därmed skulle kunna ha en spärrfunktion precis som för ett kreditkort. Ett lösenord och biometriska uppgifter kan andra ha tillgång till utan att du vet om det över huvud taget.

Och tanken på en hårdvarunyckel man inte kan tappa bort? Jag har själv lite svårt för idén med implantat som inloggning, eftersom det skulle kunna bli… obehagligt den dag någon absolut vill ha tag på informationen mot min vilja. Men jag har kanske sett för mycket film. Och vad gör man den dagen någon lägger ut databasdumpar eller liknande från hackade biometriska system på pastebin? Går till plastikkirurgen?

Det finns massor av andra idéer om hur vi ska kunna identifiera oss elektroniskt i olika system, men det tar vi i en annan bloggpost.

Kontentan är att lösenorden lär hänga kvar ett tag, men de är osäkra och ofta opraktiska på till exempel smartphones, även om det finns bra hjälpmedel. Vi kommer att få se flera nya lösningar och förhoppningsvis en standard som kan användas för flera typer av autentisering av olika aktörer.

Till dess säger jag som vanligt – använd ett program som hanterar lösenorden säkert, till exempel open source-programmet KeePass, som funkar väldigt bra.