Bild: Matt W. Moore

Ditt bästa lösenord är undermedvetet

De lösenord vi använder för att skydda känslig information i våra datorer och på nätet påminner om primitiva nycklar. De är lätta att stjäla eller kopiera. Därför utvecklas nu koder som är så hemliga att vi inte ens själva vet om dem.

Publicerad

Det ser ut som ett datorspel – men är i själva verket grunden till ett av de mest avancerade lösenorden som finns just nu. På datorskärmen syns sex kolumner, var och en namngiven med en bokstav. I en av kolumnerna faller en svart bricka. Den följs av en andra bricka, i en annan kolumn. Därefter en tredje, en fjärde, en femte. Strömmen av brickor tycks aldrig ta slut.

Själv sitter du med fingrarna på tangentbordet, beredd att trycka på rätt bokstav i exakt rätt ögonblick – precis innan en bricka försvinner ur bild. Det hela påminner om en enkel variant av populära tv-spel som Guitar hero eller Dance dance revolution. Men i det här avskalade utförandet handlar det inte bara om att samla poäng. Samtidigt som du spelar bevisar du för datorn att du är du.

Då och då faller nämligen brickorna i en kolumnsekvens du tidigare tränat på och därmed klarar lite bättre än när det är slumpen som styr. Finessen är att du själv inte är riktigt säker på vilken sekvens som är din. Kanske känner du igen några av de trettio brickor som ingår i den, men sannolikt inte alla. I stället sitter kunskapen och fingerfärdigheten i ryggraden.

Hristo Bojinov vid Stanford university är tillsammans med fyra andra amerikanska forskare upphovsman till idén. Han jämför sitt spel med att cykla. Trots att man utan problem kan hålla balansen så går det inte att förklara hur man gör. Kunskapen är implicit, och det får positiva konsekvenser:

– Eftersom du själv inte har en medveten kunskap om ditt lösenord kan du heller inte tvingas lämna det ifrån dig.

Ändå kommer det troligen att dröja innan du loggar in på din bank med ett av Hristo Bojinovs spel. Att lära sig sin sekvens kräver timslång träning och varje inloggning tar ungefär fem minuter. Hristo Bojinov tror själv att tekniken främst kommer att användas för konton som innehåller verkligt känslig information och som inte används dagligen.

Det geniala med den förhärskande tekniken – användarnamn och lösenord – är att den ställer så låga krav på både teknik och användarens datorkunnande. Så länge det finns ett tangentbord och en skärm går det att knappa in inloggningsuppgifter, och alla förstår hur det fungerar. Men denna så kallade lösenordsbaserade autentisering dras också med en svaghet:

– Tekniken bygger på vad vi vet, inte vilka vi är. Den är i själva verket kunskapsbaserad, säger Dan Harnesk, biträdande professor i data- och systemvetenskap vid Luleå tekniska universitet.

Och kunskap kan spridas. Att någon ska tvinga dig att avslöja ditt lösenord är inte det enda bekymret, troligen inte ens realistiskt. Men vi människor är lata och väljer ofta lösenord som är lätta att gissa. Att vi använder samma lösenord på många ställen är också ett problem, som förvärras ytterligare av att tjänsteleverantörer på nätet inte hanterar sina användares inloggningsuppgifter på ett säkert sätt.

Anna Vapen, doktorand i it-säkerhet vid Linköpings universitet, konstaterar att det är tre olika intressen som delvis står emot varandra i valet av teknik: användbarhet, tillgänglighet och säkerhet.

– Ett långt lösenord är ett bra lösenord. Men då blir det plötsligt svårt att komma ihåg.

När känslig och privat information hanteras digitalt ökar behovet av inloggningslösningar som kombinerar de tre aspekterna på bästa möjliga sätt. Internetbanken och deklarationen är två av relativt få exempel på nättjänster där svenska nätanvändare loggar in genom att använda annat än lösenord.

– Jag tror att vi i framtiden kommer att använda flera olika typer av inloggning. Enkelt där det duger, säkert där det behövs. Att nivån på säkerheten är bättre anpassad till vad det är som ska skyddas, säger Anna Vapen.

Google, Facebook, Microsoft och Twitter erbjuder redan sina användare något som kallas för tvåfaktorsautentisering. Det innebär att lösenordet – något användaren kan – kombineras med ytterligare en kontrollmekanism. Allt fler tjänster på nätet kräver att du använder din mobiltelefon för att identifiera dig. Mobilen kan antingen skapa en extra kod själv, eller så skickas den med sms. Med en sådan teknik är plötsligt ett lösenord på drift inte längre något stort problem, så länge inte telefonen också är stulen, förstås.

Kelly Caine, biträdande professor vid Clemson university i USA, ser en annan tydlig trend i det hon kallar för grafiska lösenord. Ett exempel är inloggningsmönstret som kan låsa vissa mobiltelefoner. I stället för en fyrsiffrig sifferkod ska minst fyra av nio punkter på skärmen kopplas ihop i rätt ordning.

– Fördelen är att inlärningen sker i handen, och lagras i ditt så kallade procedurminne för inövade rörelser. Det gör det lättare att komma ihåg, säger hon.

Kelly Caine tror, precis som de andra som F&F har talat med, att det dröjer innan dagens lösenord helt har ersatts av andra lösningar. Andra alternativ kräver ofta teknik som kompletterar tangentbord och skärm och faller därmed på tillgänglighets- och/eller användbarhetsaspekten. Alla som på semestern försökt utföra ett ärende i nätbanken med koddosan glömd hemma vet varför.

Men det finns alternativ som är lika enkla för användaren som ett lösenord, och ändå ger bättre säkerhet. Dan Harnesk tror mycket på så kallad biometri, som innebär att datorn läser av en fysikalisk egenhet hos dig, till exempel ditt fingeravtryck eller irisens mönster i ögat – eller mönstermatchning av tangentbordsrörelser.

– Biometri är något som forskarna tittar mycket på. Dels fysiologisk biometri, men också beteendebaserad biometri, börjar blir riktigt stort, säger han.

Bland annat har Darpa, det amerikanska försvarsdepartementets forskningsorganisation, intresserat sig för biometrilösningar som inte bygger på fingeravtryck och iris-avläsning utan på hur användaren agerar. Genom att till exempel registrera tangentbordsrytmen skapas en personlig profil med information om hur tangenterna trycks ner.

I Luleå finns det forskningsbaserade företaget Behaviometrics. Företaget har i snart tio år utvecklat program för att registrera tangentbordsrytmen och deltog nyligen i ett av Darpas projekt. Peder Nordström är en av företagets grundare och dess teknikchef:

– Ofta säger man att användaren är den svaga länken. Vi menar i stället att användarens beteendemönster är en styrka. Vår teknik registrerar hur lösenordet matas in och kan med stor sannolikhet avgöra om det är rätt person som försöker logga in. För användarna blir det ingen skillnad, de använder systemet precis som vanligt.

En annan fördel med att registrera tangentbordsrytmen är att det ger en kontinuerlig behörighetskontroll, alltså även efter det att inloggningen har skett. Om användarbeteendet plötsligt skulle avvika från det förväntade låser sig datorn och kräver att lösenordet matas in på nytt.

Det finns också biometrilösningar som känns som ren science fiction. I USA förbereder företaget Bionym lanseringen av ett armband som registrerar användarens EKG, och utifrån en personlig profil kan avgöra om armbandet sitter på rätt person eller inte. Och vid University of California har forskare börjat experimentera med produkter som registrerar hjärnans aktivitet med EEG-sensorer. Förhoppningen är att på sikt kunna utveckla en teknik för något som man skulle kunna kalla lösentankar.

I takt med att vi använder alltmer uppkopplade prylar öppnas möjligheter för att låta dem fungera tillsammans. Fysisk närhet kan kanske bli en faktor i inloggningen. Om du är uppkopplad till samma trådlösa nätverk som din smarta tv är sannolikheten stor för att du är hemma och den du utger dig för att vara. Därmed krävs bara ett lösenord för att logga in. Men om inloggningsförsöket sker från ett kafé, då måste du också mata in en engångskod som skickas till din telefon. Allt oftare går det också att avgöra var i världen vi befinner oss, exempelvis genom mobiltelefonens gps eller genom att titta på internetuppkopplingens ip-adress. Geografisk position är en av flera faktorer som kan användas för att upptäcka avvikande användningsmönster. Det är en teknik som redan används av kreditkortsföretag när de ska avslöja om någon stulit ditt kreditkortsnummer och försöker använda det på en plats i världen där du sannolikt inte befinner dig. En användare som brukar logga in från Sverige kan krävas på extra engångslösen när inloggningen plötsligt sker från en dator i London.

Dan Harnesk uttrycker det som att maskinen blir medveten om vem det är som använder den och inte nöjer sig med att personen vid tangentbordet har identifierat sig med ett lösenord som mycket väl kan vara stulet.

Ytterligare ett sätt att göra lösenorden säkrare är att minska det faktiska antalet lösenord. Det kan göras genom att man använder en så kallad lösenordshanterare, ett datorprogram som fungerar som ett kassaskåp för alla de olika inloggningsuppgifter som användaren har.

Den som installerar en sådan lösenordshanterare i sin dator behöver sedan bara hålla koll på ett enda lösenord: det som behövs för att låsa upp själva kassaskåpet. Har man väl låst upp det, ja då sköter programmet inloggningarna till alla skyddade tjänster automatiskt. Resonemanget bygger på att det är säkrare att använda ett riktigt långt lösenord, i stället för flera kortare och därmed mindre säkra. Men det bygger förstås på att det långa lösenordet är riktigt säkert.

Webbläsaren Firefox prövar en sådan lösning för användare av deras e-post. Om du som användare loggat in till din e-post med ett extra säkert lösenord kan webbläsaren sedan komma ihåg det när du ska logga in på andra tjänster. I stället för att mata in inloggningsuppgifter för varje tjänst, är det helt enkelt e-postinloggningen som sköter din identifiering. Men det bygger, åtminstone tills vidare, på att du använder just Firefox till alla tjänster som du ska logga in på.

Google har en annan idé där mobiltelefonen används som lösenordshanterare. Tanken är att man som användare låser upp sin telefon med ett lösenord och sedan tar mobilen ansvar för inloggningen till alla tjänster och appar man använder. Fördelen med det systemet är att det faktum att du har din egen mobiltelefon gör att du har en extra säkerhet.

Problemet med båda dessa samordningar och de flesta andra är att de kräver en standard samt samarbete mellan olika aktörer. De försök som hittills gjorts vad gäller standardlösningar har ännu inte blivit några stora framgångar. De faller på att konkurrenter inte vill samarbeta om ett gemensamt system.

Många säkra system faller på att de är för krångliga att använda. Detta är tydligt till exempel i system som används på många sjukhus. Här kompletterar man inloggningen med ett så kallat smart kort. Kortet ger en extra säkerhet, förutom användarnamn och lösenord. Men det har visat sig att användarna upplever korten som en extra komplikation. En studie som Ulf Melin, biträdande professor i informatik vid Linköpings universitet, har genomfört visar att bökigt handhavande underminerar den säkerhet som korten skulle ge om de användes på rätt sätt. På flera arbetsplatser har man tagit en genväg och låter ett kort sitta i datorns kortläsare hela tiden, så att flera personer kan använda samma konto när det är ont om tid, eller då endast ett fåtal datorer finns tillgängliga.

– Det finns gott om företag som är duktiga på att utveckla teknik som är säker så länge den används exakt som det är tänkt. Men i dagligt bruk utsätts den för massor av utmaningar av stressade användare, säger Ulf Melin och fortsätter:

– Just nu använder vi inloggningsuppgifter på så många ställen att vi inte ser dem som så värdefulla som vi borde.

Det går att göra en jämförelse med en fysisk nyckelknippa. Den har nycklar som går till olika ställen, och de har mer eller mindre komplicerad utformning. I järnhandeln väljer vi grovlek på hänglåset beroende på vad som ska förvaras bakom den stängda dörren. Men när det gäller it-säkerhet, då nöjer vi oss ofta med ett enda lösenord som vi använder till flera av våra konton på nätet.

– Väldigt många av problemen skulle försvinna om vi började se på lösenord som de värdehandlingar de faktiskt är, säger Ulf Melin.

Här kan du Testa lösenordsspelet

brainauth.com/testdrive finns en version av det spel med fallande brickor, som Hristo Bojinov och hans kolleger har utvecklat som ett alternativ till traditionella lösenord.

Våra vanligaste lösenord

När databaser med lösenord hamnar på drift går det också att se vilka lösenord som är de vanligaste. Säkerhetskonsulten Mark Burnett gjorde 2011 en analys av totalt sex miljoner läckta lösenord. Han kunde bland annat visa att vart tionde konto hade antingen ”password”, ”123456” eller ”12345678” som lösenord. Och att nio av tio skyddades av ett lösenord som var bland de 1000 mest använda. Topplistan i hans analys såg ut så här:

  1. password
  2. 123456
  3. 12345678
  4. 1234
  5. qwerty
  6. 12345
  7. dragon
  8. pussy
  9. baseball
  10. football

Ny mobil utan lösenord

Nya Iphone 5S använder fingeravtryck i stället för lösenord för inloggning. Att trendkänsliga Apple väljer denna väg kan vara en fingervisning om vart vi är på väg.

Fem enkla sätt att öka säkerheten

Återanvänd inte dina lösenord – även om det blir många att hålla ordning på.

Använd lösenordshanterare. Exempel på program som brukar rekommenderas är 1password, Keepass och LastPassword.

Lååååånga lösenord är svårare att knäcka.

Fundera igenom vilka sajter som är viktigast att skydda, välj starka lösenord åtminstone till dem.

Fundera på vem du skyddar dig mot. Ett långt lösenord på en papperslapp är säkert mot många attacker på nätet, men inte mot en snokande kollega.

Upptäck F&F:s arkiv!

Se alla utgåvor