Den Nya Mobilrevolutionen verkar lida av ett feltänk.

Läser i IDG om Near Field Communication, NFC. Snart ska man kunna betala med mobilen, yada yada. Sådant vi hört om länge, men det intressanta är att liknande lösningar faktiskt används i praktiken. Det används tydligen som digitala nycklar i Vara kommun. Ett citat ur artikeln:

“Digitala nycklar är ett annat exempel som tjänar nytta åt både privatpersoner och företag. I Vara Kommun, där hemtjänsten fått delta i pilottester, har responsen varit mycket god. Framförallt har tekniken sparat dem mycket tid i form av smidigare nyckelhantering. Digitala nycklar upplevs också säkrare och enklare då de inte går att kopiera och inte kan försvinna. Och i och med att pin-kodsverifiering endast öppnar dörren för behöriga, på enbart utsatta tider om man så vill.”

Någon som ser ett problem här? Kännetecknas digitala produkter, rent generellt, av att inte kunna kopieras eller försvinna? Dessutom så har de lagt till med pin-kodsverifiering, denna grund för all bra säkerhet… Eller inte. Jaja, de verkar i alla fall inte satsa på den hemska tekniken biometri…

Advertisement

Lösenord ska användas också, inte bara vara teoretiskt säkra.

Säkerhetsexpert Per Hellqvist varnar för nätfiske via falska youtubesidor. Spännande. Jag tycker alltid det är intressant med nya attackmetoder för Phishing. Per har också generellt vettiga råd om att man ska vara lite småparanoid på nätet. Bra så. Vad som är mest intressant är Pers råd för att att skapa ett säkert lösenord. Och, jag tar mig friheten att citera dem nedan:

1. Rent tekniskt sätt är det bra att använda sig av både stora och små bokstäver.
2. Kombinera bokstäverna med specialtecken.
3. Satsa också på att lägga in siffror i sitt lösenord.
4. Lösenordet bör vara relativt långt, mellan 12 och 15 tecken, och inte innehålla ord som finns med i något lexikon på något språk.

När jag läser de här råden hoppas jag att Per har blivit felciterad, eller så är detta ryckt helt ur sitt sammanhang. När jag läser artikeln verkar den riktad mot normalanvändare. Ni vet, normala människor. Sådana som kan ha svårt att komma ihåg lösenord som ser ut så här:
Sj8/5/7bg))y!!b

Råden i sig är ytterst vettiga i TEORIN, men i praktiken är de närmast värdelösa. Ytterst få kan komma ihåg den sortens lösenord. En oroande stor del av alla användare använder synnerligen usla lösenord (Sigge/Sigge är ju ett klassiskt exempel, men också Sommar, Vinter, eget namn, hockeylag, etc.). Att tro att de användarna ska gå från en sådan låg nivån av lösenord, till de Per rekommenderar ovan är fullständigt verklighetsfrämmande och rent av lite humoristiskt.
Per har också skrivit en bok med råd om hur man skyddar sina barn på Internet. Den säljs med sedvanlig FUD (“Internet är ett laglöst land utan sheriff och fullt av faror för ditt barn!”) och jag blir onekligen lite nyfiken på om han ger samma råd vad gäller lösenord där? Är de reglerna ovan vad man ska tuta i sin åttaåring som precis skaffat sig ett e-mailkonto?

Nog om detta, jag är som sagt hoppfull om att det är taget lite ur sitt sammanhang.

Bra metoder för rimliga lösenord finns det gott om, dock. Ett enkelt sätt att få en ökad säkerhet är att ha lösenord baserade på första bokstaven i något citat eller låt man tycker om. Du gamla du fria-inledningen blir då “dgdfdfhn”. Enkelt att komma ihåg. Ju mer obskyr musik/citat ju bättre. Dock också möjligt att generera och lägga i de databaser som används för att knäcka lösenord, varför säkerheten i det inte är optimal. För att göra det svårare kan utökade tecken läggas till, eller kanske istället använda andra, eller tredje, bokstaven i varje ord.  Det är såklart inte ett lösenord som är lika “säkert” som de Per tipsar om, men de är något som går att minnas.

Min favoritlösning på denna problematik är däremot passfraser. Jag kan skriva mycket om det, men i korthet går det ut på att man använder en fras istället för ett lösenord i de system som stödjer det. Istället för “sommar” så kan man använda “jag tycker mycket om sommaren”. Istället för “dgdfdfhn” enligt ovan, så kan man ta hela rasket “du gamla du fria du fjällhöga nord”. Så länge man använder ovanliga, ologiska och gärna personliga, meningar får man en mycket bra säkerhet då fraserna blir mycket svåra att knäcka. Blandar man sedan in lite stora och små bokstäver, felstavningar, mellanslag och siffror, blir det riktigt bra. “Duu gamla Du fr!a du fjallhoga Nörd”. Prova själva, det är enklare än man kan tro. Poängen är att en passfras är en väldigt enkel förbättring, som faktiskt folk kan lära sig. Det är inte perfekt, men det är en väldigt bra bit på vägen.