Lösenordsbytardagen infaller den 20 januari varje år, och nyligen var det åter dags att ägna den klassiska inloggningsmetoden lite välförtjänt uppmärksamhet.

Men byte av lösenord är ingen plikt som ska utföras bara för bytandets skull, menar säkerhetsexperten Anne-Marie Eklund Löwinder på IIS. I ett blogginlägg på organisationens hemsida riktar hon skarp kritik mot verksamheter som tvingar på sina användare regelbundna lösenordsbyten.

"I många verksamheter tvingas användarna att byta lösenord med 30, 60 eller 90 dagars mellanrum. Byten som inte ger några som helst fördelar eftersom stulna lösenord i allmänhet utnyttjas relativt omgående. Tvingande och täta byten av lösenord bidrar tvärtom till att många användare inte uppfattar lösenorden som speciellt känsliga och både delar med sig av och återanvänder dem. Och glömmer bort dem.", står bland annat att läsa.

Hon konstaterar att den enda gången det verkligen är berättigat med ett lösenordsbyte är om du misstänker att det har röjts eller om det uppstått nya metoder som indirekt försvagat ditt lösenord.

Döda lösenorden - går det?

Anne-Marie Eklund Löwinder
Foto: Sara ArnaldAnne-Marie Eklund Löwinder är starkt kritisk mot påtvingade lösenordsbyten.

Faktum är att Anne-Marie Eklund Löwinder går så långt som att önska livet ur lösenord som enda inloggningsförfarande till viktiga sajter, enheter och tjänster. Det fick PC för Alla att greppa telefonen och be henne förklara närmare.

– Det har jag gjort i snart 30 år. Lösenorden levde snabbt ut sin roll för att autentisera användaren. Det finns ju inget sätt att avgöra att den som knappar in lösenordet faktiskt är den rättmätige innehavaren av det.

Så väljer du säkrast möjliga lösenord – och här är fällorna att undvika

Enligt Anne-Marie Eklund Löwinder hade lösenordsträsket kunnat torka ut redan för 10-15 år sedan. Men tajmingen var fel.

– På statlig nivå hade man exempelvis kommit en bra bit på väg med allterminalprojektet, som var en lösning där man med hjälp av smarta kort tillsammans med en kod helt hade kunnat förändra inloggningsförfarandet. Men projektet hade otur med tajmingen och dog mer eller mindre ut i samband med att klient-server-miljön utvecklades.

Det har pratats om lösenordens död i många år nu. När inträffar den?
– Jag tror inte att de kommer försvinna helt, men det kommer dyka upp fler single sign-on-lösningar* där autentiseringen sker i bakgrunden. Listan på tjänster som erbjuder tvåfaktorsautentisering blir allt längre. Problemet är att få folk att börja använda det – och ställa säkerhetskrav på tjänsterna där det slarvas.

* single sign on: Lösning där användaren bara behöver logga in en gång och får tillgång till flera olika tjänster. Användbart för att du ska slippa hålla reda på en mängd olika lösenord.

Nästa sida: Skydda e-postkontont med ditt liv