Det har nu gått snart ett år sen mitt återinträde som redaktionell journalist på IDG. Jag skriver, och läser stora mängder artiklar, rapporter och annat, om it-säkerhet varje dag. Och det ständigt återkommande temat är lösenord. Det är lösenordsproblematik överallt. Överallt.
Jag var på besök på FRA tidigare i sommar. En av lärarna för det sommarkollo i it-säkerhet som FRA anordnar för gymnasieungdomar från Kista uttryckte att lösenord är ett 1990-tals-problem vi måste tampas med än idag. Det borde ha försvunnit för länge länge sen. Varför behövs överhuvudtaget ett it-säkerhets-kollo? På FRA av alla ställen?
Så här är det: Lösenord är knarket i hackervärlden. Precis som narkotikan är det epicentrum kring vilket den analoga kriminella världen roterar, är lösenordet den främsta anledningen till att hackare hackar. Du som ansvarig för en webbtjänst som hanterar lösenord är en del i hackarnas ekosystem – på sätt och vis är det du som är langaren.
Salta dina hashar bäst du vill – vore det inte bättre att inte hantera lösenord alls? Det skulle förmodligen kosta mindre pengar, och du skulle sova bättre med vetskapen att i dina system finns det helt enkelt ingenting att stjäla. Jämför kostnaden för att upprätthålla ett system för att säkerställa att användarnas lösenord är säkra, med kostnaden för en implementation av två-faktor-autentisering. Jag sätter en belgisk klosteröl på att två-faktor-autentisering blir billigare.
Och det, min gode tjänsteägare, är en fis i rymden mot kostnaden för när ditt system för lösenordssäkerhet skiter i det blå skåpet, hacket är ett faktum, och Datainspektionen, och än värre Polisen, knackar på dörren. Plus krishanteringen när media (läs jag) utmålar er med all rätt som klantskallarna som blev hackade på användarnas lösenord. Plus revision, nedtid, förlorade kunder, återställning och uppgradering av systemen.
Jag tycker att det är dags att det blir skämmigt att tillhandahålla en tjänst med användarnamn och lösenord som enda alternativ för att logga in användarna. Bygger man en sån tjänst idag gör man ett dåligt jobb, folk borde skratta eller se snett åt dem som inte fattar bättre än att bygga simpla login-lösningar med lösenord.
Som användare och konsument som accepterar tjänster som, som enda alternativ, loggar in dig med lösenord, eller väljer att inte använda bättre alternativ om de finns, är på samma sätt lika mycket brukare i detta ekosystem. De göder hackarna som gräsrökare bidrar till morden i Mexico, hur bohem-pacifistiska konnässörer de än månde vara. Skillnaden är att du för det mesta är tvungen att använda lösenord, men det betyder inte att du inte borde rösta med fötterna eller protestera. Och jodå, jag är tyvärr också i brukarledet.
Hackare som hackar för pengar jagar lösenord för att de går att sälja, och därmed är det mödan värt att fortsätta hacka. Att komma över lösenord verkar inte vara särskilt svårt för dem som vet hur man gör. Bang for the buck är för bra. Stulna lösenord ligger sedan till grund för dataintrång som syftar till att komma över känslig information, det som ofta utförs av statssponsrade hackergrupper, och är en del av spionaget mellan länder. Lösenord är grunden för industrispionage där företagshemligheter, kanske resultatet av åratals forskning och utveckling, hamnar hos konkurrenter i andra länder.
Pishing i alla dess former är i grunden ett lösenordsproblem. Syftet är ju att lura av dig ett lösenord. I princip samtliga fall där hackare kunnat ta över ett helt nätverk på ett stort företag, börjar med phishing och det börjar med att de lyckas ta över en simpel klient. Resten är teknik, som det brukar heta.
Och det blir ju inte bättre av att systemadministratörerna ofta fortfarande använder lösenord till administratörskontona på även de mest känsliga system. Skäms. Jag vet av egen erfarenhet att systemlösenord till AD:t, nätverksutrustning, brandväggar, lagringssystem och dylikt kan ligga kvar oförändrade i åratal. Skäms ännu mer. ”A wizard should know better” som enten Treebeard säger i Sagan om de två tornen.
Men. Man är ju som sagt tvungen att använda lösenord trots att alla systemägare vet att det är dynga. Då ska man, om man måste använda lösenord alltså, använda svåra (läs långa) lösenord, unika för varje tjänst. Jag har ett trick, ett system jag nu ska delge er. Jag säger inte att det är perfekt, men det är bättre än ”Sommar2019”.
Jag har för det första hittat på en ramsa jag aldrig glömmer, säg Ole Dole Doff. Jag tar initialerna och varierar stor och liten bokstav varannan bokstav, alltså OdD. Sen lägger jag in siffror och ett par specialtecken på varannan plats, till exempel ?O1d2D3!. Detta lägger jag på minnet, men skulle jag glömma det vet jag hur jag får fram det med hjälp av ramsan och den enkla formeln.
För att göra lösenordet unikt för varje tjänst jag använder tar jag tjänstens namn, delar upp det i två stavelser och lägger till dessa i början och slutet, till exempel Face?O1d2D3!Book, You?O1d2D3!Tube, Twitt?O1d2D3!Er och så vidare. Tycker du det blir för kort kan du exempelvis ta samma sak flera gånger: FaceFace?O1d2D3!BookBook.
Å andra sidan, när jag visade detta för läraren på FRA sa han ”... eller så använder man lösenordhanterare”. Så är det ju, och hårdvarunycklar är det bästa som finns.
Min Yubikey hälsar trevlig semester: ccccccibckfdgebkdjgivignktfghufvgvhgddlgrkef
På återseende i augusti.
Läs också:
Sommarlovön – FRA utbildar ungdomar i it-säkerhet
Miljarder användarloggar läcker från smarta hem-tillverkare