Med anledning av att helpdeskar hos arbetsgivare land och rike runt just nu sliter sitt hår och går på knäna av alla som glömt bort sina lösenord över semestern, så kanske det är på sin plats med en llösenords- och inloggningsdiskussion. E-post som användar-id, påtvingat byte av gamla lösenord och lösenordshanterare blir några av ämnena.
Avanzas kontoregistrering med hjälp av Apples lösenordshanterare. Ett rätt är att man kräver användarnamn, och inte loggar in med e-post. Måttliga krav på lösenordets utformning. |
För många är det kanske okänt att nu när anställlda kommer tillbaka efter semestern går många helpdeskar på knäna. Man har själva inte fått full bemanning efter semestern, men är överbelastade med användare, som glömt bort sina lösenord.
En del har glömt bort dem på grund av att innan semestern så inträffade det obligatoriska periodbaserade skiftet av lösenord. Ni vet det som till slut tvingar dig att använda Volvosommar2020 för att komma ihåg vad ditt lösenord är, istället för det där riktigt bra lösenordet du valde när du började på Volvo.
Naturligtvis gäller det inte dig, kära läsare. Du glömmer ju aldrig något, och har dessutom alltid till synes slumpmässiga lösenord på över 20 tecken, som du kommer ihåg i huvudet. Men du är en anekdot.
Så låt oss diskuterar inloggningar.
Till en början finns det olika individuella krav på säkerheten. För en e-handelssajt, eller kanske Netflix behöver du knappast ha särskilt hög säkerhet. Det värsta som kan hända på Netflix är att någon förlänger eller avslutar ditt abonnemang, samt förstås får se din dåliga filmsmak. På e-handelssajten kanske de kan avbeställa en order, samt se vad du har för storlek på kläder. Beror kanske vad för e-handelssajt, en del kanske kan vara pinsamt hemliga utifrån vad du köper för något.
I kontrast i andra ändan är lösenordet till din e-post antagligen bland det mest känsliga du har. Detta eftersom de flesta sajter använder din e-post för lösenordsåterrskapning, för att inte tala om allt annat du har i dina e-postlådor. Här ska du inte bara använda ett starkt lösenord – du ska också ha tvåstegsautenticering. Och då inte via mobiltelefon, eftersom man åtminstone i ett annat land kan styra om så teleefonsamtal och SMS till dig går tilll ett annat utvalt nummer. Använd således Google Authenticator, Authy (som t ex Avanza använder) och liknande för tvåstegslösen, inte ditt telefonnummer. Åtminstone inte för känsliga sajter där du har högsta säkerhetskrav.
Idag finns många bra lösenordshanterare. En sådan är Apples dito Keychain, som om du vill kan synka via iCloud, så du kan använda nyckelringen på alla dina iPrylar och datorer i ditt Apple-ekosystem. Ett annat är lösenordshanteraren i Google Chrome, som också kan synkas mellan alla dina olika Chrome-instanser på olika datorer och mobiltelefoner om du aktiverar det.
Därmed kan man som på skärmdumparna ovan låta systemet ta fram ett extremt starkt lösenord på över 20 tecken och med en slumpvis kombination av siffror, versaler och gemener. För sajter där du har högsta säkerhetskrav, vilket bara är ett fåtal, som din e-post och kanske några finansiella sajter ska du förstås använda starka lösenord som du bara har i huvudet, samt tvåfaktorsautentisering. För övrigt brukar det numera bara gå att ta ut pengar från t ex onlinemäklare till konton registrerade på ditt namn, så även där kan skadan vara begränsad.
Men för en e-handelssajt är antagligen lösenordshanterare ett fullgott val.
Ett annat gissel är att så många sajter envisas med att ha din e-post som inloggning. Därmed sänks säkerheten. Du behöver bara veta någon persons e-post för att kunna försöka hacka dig in på olika konton. Annars kanske man hade haft SavingPrivateKjell som inloggning på något FPS-spel och något helt annat på Svenska Dagbladet.
När (inte om) en hacker tar sig in på sajten, laddar ner den (krypterade – som man dock kan knäcka ändå om lösenorden ingår i någon av de för varje dag allt större ordböckerna av lösenord som sprids i hackerkretsar) lösenordsdatabasen, så får vederbörande även oftast inloggningsnamnet eller e-posten. Och när alla kör e-post som inloggning, så kan man därmed testa om du har samma lösenord på fllera sajter.
Istället ska användarnamn användas som lösenord anser jag. Men visst, då måste ju folk komma ihåg sitt användarnamn, vilket blir ett ytterligare problem. Men för de där sajterna med låg säkerhet kan du köra lösenordshanteraren, som även tar hand om ditt inloggningsnamn.
Mobilt Bank-ID är ett hyfsat sätt att hantera inloggning, även om det går att lura lite mer godtrogna människor via telefonsamtal. Sett till vad det kostar en helpdesk i personal att hjälpa användare återställa lösenord efter semestern kanske det hade varit en väg även för många arbetsplatser. När jag tillsammans med Handelsbanken jobbade med att försöka sälja in konsultlösningar för föregångaren Bank-ID på dator 2002 – 2003 så var just kostnaden för att hantera bortglömda lösenord en selling point för de myndigheter och kommuner vi träffade. Idag har det nog gått upp för de flesta hur effektivt det är att inte behöva hantera inloggningsuppgifter alls, utan låta BankID ta den smällen.
För att summera. Mobilt BankID är bra, använd lösenordshanterare för dina mindre känsliga inloggningar, använd starka lösenord och tvåfaktorautentisering för dina känsligaste konton. Tjänster med e-post som inloggning innebär sämre säkerhet. Och att tvinga anställda att byta lösenord regelbundet är dumt, och ska inte agera ersättare för en bättre teknisk lösning. Och nej, du behöver inte ha samma säkerhetskrav på alla sajter och tjänster.
28 kommentarer
Tjänster som bankID är bra så länge tjänsten är uppe. En hicka i det systemet, även om det är ovanligt, får väldigt många tjänster att sluta funka.
Och är begränsat till svenskar, funkar i praktiken inte för de siter/system som har mer internationella användare.
Precis min tanke. Ju fler ställen som använder Bankid, desto mer systemkritiskt blir det och desto mer ställer det till det i samhället när Bankid ligger nere.
Jag brukade också vara positivt inställd till BankID. Men sedan fick jag demonstrerat hur enkelt det är att klona en telefon och därmed också BankID. Och då är det helt plötsligt bara ett lösenord som hinder ifrån att i princip ge obegränsad tillgång till någons ekonomi. Banköverföringar, lån, lagfarter, fordon osv..
Jag är också lite skeptisk till Bank ID på mobiltelefonen (har det inte installerat). Loggar hellre in med bankdosan om jag ska till banken. Kanske överdrivet försiktig. Använder Bank ID på kort och kortläsare (är ju med separat kod på papper) på min laptop.
"och har dessutom alltid till synes slumpmässiga lösenord på över 20 tecken"
Nej jag har det inte alltid. Det erkänner jag.
Men då handlar det om [*] ställen där det kan stå att lösenordet får till exempel vara mellan 6 till 18 tecken.
[*] betyder en mängd svordomar.
Att man har glömt sina lösenord kan betyda att man har haft en avslappnande, bra semester.
Kan verkligen varmt rekommendera 1password
+1 för 1password. Har även kört lastpass i fler år och det funkar också utmärkt.
Jag tolkade det som att du rekommenderade det som lösenord.
Starkaste lösenordet är ett riktigt, grovt snuskigt ord, en säkerhet för dig själv då du inte blir särskilt benägen att dela med dig av det.
Extra bonus för att pryda amerikanska utvecklare har beröringsskräck mot könsord så de ingår sällan i dictionaries ens på engelska. Dubbel bonus för nordiska språk alltså.
Jag har bygg till Volvosommar2020 enligt instruktion.
F.ö. så tycker jag Mobilt Bankids lösning där man måste skanna en QR-kod på den sida man ska logga in på känns rätt bra då man bara kan logga in på just den sessionen. En id-kapare får upp en annan QR-kod och kan då inte komma in, nackdelen är att det börjar bli lite komplext för vanliga människor att hantera.
Ska förstås vara bytt, autokorrekt…
Att ha ett lösenord med bara slumpvisa tecken och siffror är korkat. Se xkcd.com/936/
Jag använder samma (hyfsade) lösenord överallt med twisten att jag tar en bokstavskombination av sajten där jag ska logga in. T.ex. kan man ta första, sista och andra bokstaven före. Om jag loggar in på cornucopia blir det coa[lösenord], hos avanza aav[lösnord] o.s.v. Det är enda sättet för mig att ha ett unikt lösenord, olika lösenord samt komma ihåg mitt lösenord.
Kör mitt egna system på siter med lägre säkerhetskrav. Ett säkert grundlösenord, långt, slumpmässigt, etc och sen gör jag det unikt genom att lägga till en unik kort del för varje site. Tror jag klarar mig bra på det för den typen av automatiserad hacking du talar om.
Mail etc alltid helt unika lösen, långa slumpmässiga, etc. 2 factor självklart.
Angående mail som login så är ett power tip on man kör gmail att man kan lägga till valfri sträng i adressen.
Om din adress är [email protected] så kan du använda [email protected] som e-post. Löser problemet med unika login names!
Krypterade lösenord ger jag inte mycket för. Unikt saltade och hashade ska det vara!
Krypterade lösenord i din lösenordshanterare. Den måste ju fortfarande kunna få ut klartextlösen för att skicka när du ska logga in. Hash+salt hos servern du loggar in på.
Använder inte lösenordshanterare av bla den anledningen 🙂
Samma strategi och tycker det funkar bra. Klarar mig utan hanterare. Dumt nog har jag inget specialtecken vilket har gjort att de sajter som krävde det inte följer min mentala algoritm utan kräver två inloggningsförsök. Någon gång ska jag gå igenom alla sajter. Någon gång…
Jag använder två olika starka lösenord (9 resp.10 tecken) som jag har i minnet. Ingen lösenordshanterare. Vet inte hur pass smart mitt förfarande är, men det är nog godkänt – inte mer. Jag har för övrigt inget på datorn eller i molnet som jag inte klarar av att bli av med.
Vissa sajter gillar inte mina specialtecken, så man får göra undantag ibland och minska ner komplexiteten på lösenordet. Dock är det inga viktiga sajter där något viktigt står på spel. Blir kontot hackat kan man bara skapa ett nytt. Exempelvis kontot till min luftvärmepump. Om det blir hackat så skapar jag bara ett nytt. Och sannolikheten för att någon skulle vara intresserad av att hacka min luftvärmepump ser jag som närapå obefintlig.
Mina lösenord är normalt 13-15 tecken med specialtecken och utan några kända ord. Använder lösenordshanterare mest på jobbet då det är lösenord överallt och blir jävligt jobbigt att hålla på och skriva in dem hela tiden överallt.
Kom in på tredje försöket efter semestern. Kör med en bas med något obegripligt som jag memorerat plus ett löpnummer som stegas när lösenordet måste bytas. Olika sajter har dessutom ett eller två tecken som identifierar dem så att samma lösenord inte används på olika platser. Sålunda har jag ett system/algoritm så att jag kan återskapa lösenord om jag glömt dem, men det kan ta några försök innan jag hittar rätt löpnummer.
Löpnummer som ändras ofta brukar jag ha på en postit-lapp vid skärmen. Vissa sällan använda passord sparas i en krypterad fil som följer samma system för lösenord.
Lösenorden klassificeras förstås som starka.
D.v.s. Inget ord som går att slå upp, och tillräckligt långa för att brute force inte fungerar.
Bra sammanfattning men jag vill uppmana folk att använda FIDO2 där det går för att påskynda övergången till kryptologisk inloggning utan användarnamn och lösenord. De siter som implementerat idag använder det dock oftast bara som en andra faktor, dvs du får logga in med användarnamn och lösenord först, sedan verifiera med en kryptonyckel. FIDO2 webauthn är en standard och är redan implementerad i alla browsers inklusive mobile safari. Det du behöver göra är att skaffa en kryptonyckel, förslagsvis en svensk yubikey, så får du en roamande autentisering som du kan börja använda på alla stora websiter. På office365 kan man faktiskt logga in helt utan användarnann och lösenord. Sannolikt kommer Apple implementera FIDO2 med faceid/touchid men då får man registrera flera enheter på varje website eftersom privata nyckeln ligger i enheten. Det är fördelen med yubikey, du har privata nyckeln på en roamande enhet coh behöver bara registrera en publik nyckel per website. Yubikey fungerar med usb, nfc lighning etc.
Hur gör man om ens yubikey går sönder?