Hur kommer vi egentligen att logga in om fem år?

IIS
Foto: Sara Arnald

Ann-Marie Eklund Löwinder, säkerhetsexpert hos IIS: Hur osäkra lösenord i allmänhet än är kommer användningen av dem inte att försvinna inom någon överskådlig framtid. Vi kommer fortfarande att ha lösenord enligt tidigare modell om fem år, framför allt om vi ser globalt.

Sponsrat: Skapa nya, starka lösenord och lagra dem säkert med F-Secure KEY – hämta gratis!

Johan Jarl

Johan Jarl, säkerhetsexpert hos Trend Micro: Från ett säkerhetsperspektiv ser dessvärre framtiden mörk ut. Enkla eller svaga lösenord och kriminellas förmåga att lista ut, fånga upp eller stjäla dem har dessvärre lite för goda utsikter. Tyvärr tror jag att lösenord kommer att finnas kvar under lång tid framöver, det är ett billig och väldigt utbrett sätt att säkra upp tjänster med.

Sedan är det högst troligt att fler tekniker som gör det möjligt med personunika anpassningar kommer att användas som alternativ eller komplement till lösenord. Då tänker jag exempelvis på att tekniker för röst-, ansikts-, ögon- eller fingeravtrycksigenkänning troligen blir mer utbredda.

Jacoby

David Jacoby, säkerhetsexpert hos Kaspersky Lab: Jag tror att vi kommer att använda lösenord ett tag till, även om fem år. Förhoppningsvis ser vi mer av autentisering via fingeravtryck och tvåfaktorsautentisering.

Jesper Kråkhede

Jesper Kråkhede, säkerhetsexpert hos Microsoft: Lösenordet kommer att dö ut – redan i dag använder vi i högre utsträckning två enheter för inloggning. Jag behöver inte heller gå fem år i framtiden för att säga att olika former av biometri, multifaktorautentisering och liknande blir vanligare. Vad vi väljer att autentisera oss med är vad som kommer att vara enkelt tillgängligt i hårdvaran om fem år. Kanske din gångrytm, din vilopuls och retina (näthinnan)?


Vilka trender finns inom säkerhet för privatpersoner i dag?

Ann-Marie Eklund Löwinder: Det största hotet är att drabbas av nätfiske, där man luras att lämna ifrån sig sina inloggningsuppgifter till en obehörig. Det kan ske genom att man klickar på en länk och hamnar på en webbsida där man uppmanas fylla i uppgifter, att man klickar på en länk som i bakgrunden installerar en keylogger (som lagrar alla tangenttryckningar och skickar till angriparen), eller att någon ringer och påstår att de är från banken och vill att du verifierar dig med din bankkod, och så vidare.

Johan Jarl: Skydden har utvecklats enormt mycket de senaste åren och vi ser att detta även kommer att fortsätta i snabb takt framöver. Bland annat blir skydden mer automatiserade och mer personspecifika. Maskinlärande- och ai-tekniker (artificiell intelligens) kommer att användas i syfte att minimera den mänskliga faktorn och för att kunna förutsäga om inloggningsmönster avviker från vårt vanliga beteende.

David Jacoby: Vi interagerar mer med saker som ligger helt utanför vår kontroll, som patientjournaler, utbildningar och myndigheter. Det betyder att vi tvingas förlita oss mer och mer på exempelvis Bank-ID. I takt med att datorer försvinner kommer vi enbart ha mobiltelefoner och terminaler. Men jag tror att vi kommer att lagra mer eller mindre allt i molnet och nästan inget på våra enheter. Det betyder i sin tur att vi får många fler säkerhetsutmaningar.

Jesper Kråkhede: Vi ser mer av centrala kontodatabaser, tvåfaktorautentisering som Bank-ID samt helhetslösningar av säkerhet från enhet till applikation.


Vi har kunnat läsa om en rad olika incidenter de senaste åren med konton som blivit hackade, bland annat några större Facebook-relaterade hack. Hur är det egentligen ställt med säkerheten hos våra mest populära tjänster i dag? 

Ann-Marie Eklund Löwinder: Jag tycker man ska utgå från att tjänster inte har förmågan att skydda våra uppgifter på ett adekvat sätt. Därför är det särskilt viktigt att man har unika lösenord på alla viktiga tjänster. Genom att lösenordsdatabaser läcker med jämna mellanrum går det också att analysera vilka som är de vanligaste lösenorden. Man måste förundras över den bristande fantasi och variationsrikedom som normalanvändaren uppvisar. Dåliga lösenord är inte bara dåliga, de är också de vanligaste lösenorden. Varför just dessa är de vanligaste beror på att de är lätta att skriva och lätta att komma ihåg. Det är mänskligt att försöka göra det lätt för sig, människor är av naturen ganska lata. Dessvärre går enkelhet och säkerhet inte alltid ihop, något som är särskilt sant när det gäller lösenord.

Johan Jarl: Jag tror att säkerheten generellt hos populära tjänster har blivit bättre de senaste åren, men ingen tjänst kan vara helt säker. Man ska inte vara orolig, men man ska vara medveten om de problem som finns.

David Jacoby: Vi kan skylla på leverantörerna för att de har dålig säkerhet, men det är inte hela sanningen. Många konton blir kapade eftersom användarna återanvänder samma lösenord på många sajter. Detta gör det enkelt för en angripare att komma över konton. Det är absolut inte bara leverantörernas fel, även om vi har sett några riktigt stora hack där flera miljoner kontouppgifter har läckt ut. Vi som användare behöver också förstå att en sajt kan bli hackad, och vi måste skydda våra profiler därefter. Säkerheten är generellt sätt ganska bra på de stora bolagen, men det krävs bara en sårbarhet för att de ska vara kört.

Jesper Kråkhede: Det är omöjligt att svara på hur säkerheten ser ut på olika lösningar då detta inte är publicerat. Huruvida man ska vara orolig eller ej beror dels på vilken egen efterforskning man gör, dels på hur mycket leverantören publicerar. I slutänden är det du själv som får avgöra om du litar på leverantören eller ej. Om du inte litar på dem är konsekvensen att du inte skall använda dem, alternativt lägga på ytterligare eget skydd.


Finns det några enkla tips att ge för att vi ska vara så säkra som möjligt?

Ann-Marie Eklund Löwinder: Den finske forskaren och säkerhetsexperten Mikko Hyppönen från F-Secure sa på en konferens en gång (fritt översatt): "Behöver du ett bra lösenord? Välj något som du absolut inte kan komma ihåg. Skriv inte ner det någonstans. Det står bara ett lösenord mellan dig och dina konton på nätet".

Det finns många olika skäl till varför lösenord är ett problem, men det främsta skälet är att vi inte tar lösenord på allvar. Varje år behöver vi hantera fler lösenord och varje år blir verktygen att knäcka dem bättre. Vi behöver ha en strategi. En sådan är att skaffa en lösenordshanterare och att använda tvåfaktorsautentisering där det erbjuds.

Även om vi i grunden talar emot regelbundna och täta byten av lösenord innebär det inte att du aldrig ska byta. Framför allt som vi ser av undersökningen att användare i regel använder för korta och för enkla lösenord som man dessutom återanvänder på flera ställen och dessutom ibland lånar ut. Byt ibland, och omgående om du misstänker att lösenordet blivit röjt. Se också till att dina lösenord motsvarar kraven på starka lösenord. Om det finns regler på jobbet som tvingar fram byten måste de givetvis följas, även om det enligt vår uppfattning är en mindre bra regel.

Lämna inte ut ditt lösenord till någon annan om du inte har goda skäl. Ta som regel att alltid ignorera mejl som ber dig skicka lösenord eller som innehåller länkar där du ombeds logga in. Det är klassiska metoder för att lura av folk deras användaridentiteter och lösenord (så kallat nätfiske).

Johan Jarl: Genom att ha olika lösenord för de olika tjänsterna och aktivera tvåfaktorsautentisering, om det finns tillgängligt, så har man definitivt höjt säkerheten. Att sedan ha komplexa lösenord och att byta dessa regelbundet är ett måste, använd då gärna en lösenordshanterare för lagring av dessa.

David Jacoby: Börja med att granska dig själv. Det kan du göra genom att exempelvis kolla med publika tjänster som Have I Been Pwned om ditt konto finns med i några databasläckor. Radera också konton du inte använder, och använd inte samma lösenord på alla dina tjänster. Ett annat tips är att du kan hålla muspekaren över en länk i ett mejl för att se om det är nätfiske eller inte. Om mejlet ser ut att komma från en bank men pekar till något i stil med minhemsida.com så kanske det är lite skumt.

Jesper Kråkhede: Använd tvåfaktorsautentisering där det är möjligt. Använd inte samma lösenord på alla sidor. Ha hellre en lång mening än ett komplext lösenord. "Mitt långa lösenord med ost på!" är betydligt säkrare än "#P@ssord70!". Se till att din dator är uppdaterad, både operativsystem och program. Glöm inte att ha återställningsrutiner för dina lösenord knutet till din mobiltelefon eller liknande. Säkerhetskopiera dina filer till ett icke anslutet media, exempelvis en usb-disk som inte är inkopplad när du inte tar backup eller en till en molnlösning som har inbyggt skydd för ransomware.