Tid for ømhet
Det hjelper lite med kurs og kompetanse hvis vi ikke har tid. Juristen skriver dårlig, vi sender ham på skrivekurs. Saksbehandlerne eier ikke språkøre, vi arrangerer et kurs i nettskriving. [...]
Passordtyranniet — til glede for nye lesere 8
I september 2004 skrev jeg en kronikk i Dagens Næringsliv under tittelen “Passordtyranniet”. Selv om kronikken ennå bare er en 2-åring, så tror jeg dessverre budskapet vil leve lenge ennå:
Passordtyranniet
Jeg kan like godt innrømme det. Det hender at jeg skriver ned passordene mine på små gule lapper og på mobiltelefonen min, rett og slett fordi jeg ikke klarer å huske dem. Og jeg er på ingen måte alene om å slurve med sikkerheten.
IT- og sikkerhetseksperter svever tilsynelatende i en villfarelse om at jo vanskeligere et passord er å huske, jo mer sikkert er det. Dette er dessverre grunnleggende feil.
Det “ideelle” passordet skal nemlig være så langt som mulig – seks tegn er absolutt minimum. Videre bør det inneholde flest mulig forskjellige tegn, som tall, små og store bokstaver, punktum, komma, &, #, osv. Det bør ikke inneholde “normale” ord som forekommer i en ordbok, og definitivt ikke ord eller koder som kan knyttes til oss personlig. Det ideelle passordet bør i det hele tatt ikke inneholde noe som helst system. Og selvfølgelig bør vi skifte passordet én gang i måneden.
Sagt på en annen måte: vi skal helst velge et passord som er umulig å huske. Vår menneskelige hjerne er nemlig helt elendig til å huske nettopp slike tilfeldige koder.
Det er bare kortidshukommelsen vår som er i stand til å lagre tilfeldige koder, men da maksimalt i et halvt minutt av gangen. I langtidshukommelsen vår, som er den vi vanligvis tenker på når vi snakker om hukommelse, er vi bare i stand til å lagre koder dersom vi har en “knagg” å henge dem på. Slike knagger er typisk personlige hendelser og egendefinerte systemer som vi har en klar assosiasjon til. Uten slike assosiasjoner er vi ute av stand til å hente frem informasjonen igjen.
Én ting er å lagre ett passord i hukommelsen, men når mengden av passord, brukernavn og andre koder vokser over alle støvleskafter, står hukommelsen vår i fare for å kollapse.
For det forventes at vi skal huske svært mange passord og koder. I løpet av én normal dag må vi huske koder for å slå på mobiltelefonen, komme inn døra på jobben, starte PC-en, logge på intranettet, lese e-post, sjekke nettbanken og bruke kredittkort i nærbutikken. Videre skal du huske passord og brukernavn for å logge på internett hjemme, bestille kinobilletter, avbestille bokklubbøker, handle i nettbutikker, kjøpe flybilletter, lese av strømmen, osv. I tillegg forventes det at vi husker bursdager, kontonumre, personnumre til mann og barn, ansattnummer, postnumre, telefonnumre, osv. Man skulle tro det hele var en konspirasjon med ett kalkulert formål: å overbelaste hukommelsen vår!
Med den mengden passord, brukernavn og andre koder vi forventes å huske er det kanskje ikke så rart at vi sliter med å stadig skape nye assosiasjoner for tilfeldige tallrekker og ord. Og hvem har tid og ork til å pugge nye passord hver måned? Vi bruker i stedet energien vår på helt andre ting, som å gjøre jobben vår og leve livene våre.
Den naturlige konsekvensen er at vi jukser. Vi slurver rett og slett med sikkerheten. Vi skriver ned passord og brukernavn på små gule lapper som vi kamuflerer mer eller mindre godt. Og vi lagrer koder i adresselisten på mobilen.
Poenget er altså dette: Jo sikrere passord i teorien, jo mindre sikkerhet i praksis. I dag kan IT- og sikkerhetseksperter bygge doble dører i stål med superlåser i nettbanken. Problemet er at de fleste av oss legger nøkkelen under matta.
I påvente av nye teknologier som identifisering via øye-scanning og fingeravtrykk, vil bruk av passord fortsatt være den viktigste sisteleddsbarrieren mot misbruk.
Skrekkscenariet er at IT- og sikkerhetseksperter stiller stadig strengere og mer intrikate krav til “sikre” passord som er umulig å huske for folk flest. Konsekvensen av et slikt passordtyranni vil være langt dårlige sikkerhet i praksis.
Balansegangen mellom sikkerhet og brukervennlighet er vanskelig, men ikke umulig. Det som er helt sikkert er at sosial og teknisk sikkerhet må sees i sammenheng for at den totale sikkerheten skal bli bedre.
Mona har psykologibakgrunn og startet med å designe kontrollrom på kjernekraftverk. Siden 1999 har hun jobbet med brukeranalyse, brukertesting, konseptutvikling og brukerfokusert design.
Martin Gjesdal, 27.08.2006 21:44
Interessant kronikk og jeg er så hjertens enig, Mona. Dette er et stort problem og jeg har sett det over alt. Vi prøver å oppfordre våre kunder til å skrive inn et passord som de allerede bruker andre steder. Det er greit å ha ett vanskelig passord som du bruker på de stedene du selv kan velge passord.
Et godt tips er å bruke et ord du kan knytte deg til og deretter bytte ut enkelte bokstaver med lignende tall. F.eks E blir 3, S blir 5, O blir 0, I blir 1 osv.
Programvareutviklere kan gjøre noe med dette problemet ved å gi brukeren enkelt tilgang første gang (gjerne med en kronglete link sendt i en e-post) og deretter be brukeren om å skrive inn et passord som skal være det gjeldende passordet for senere bruk. Dette synes jeg fungerer bra.
Noen som har andre erfaringer med dette?
Mona Halland, 28.08.2006 07:49
De fleste kjenner seg igjen i denne kronikken, desverre, men det er som du sier Martin, mulig å lage seg noen enkle regler. En annen ting er at det er nesten like vanskelig å huske brukernavnet sitt. Kravene og formen til brukernavn varierer stort mellom nettsteder og tjenester. Føler meg litt i villrede av og til, hva heter jeg på dette nettstedet?
Ram Yoga, 28.08.2006 08:51
Husker jeg leste denne kronikken i DN og var hjertens enig. Det er jeg fortsatt! :-)
Når det gjelder brukernavn liker jeg at flere og flere nettsteder tillater bruk av epost-adresse som brukernavn. Som regel klarer man å huske den. På noen nettsteder som krever et eget nick(name) tillater de deg å logge inn med BÅDE brukernavnet ditt eller epost.
Pål Degerstrøm, 28.08.2006 09:35
Det er sikkert ikke bare jeg som har litt for like (identiske?) passord på de ulike tjenestene og nettstedene. Lifehacker puubliserte en artikkel tidligere i sommer om måter å lage seg og huske kryptiske passord: http://www.lifehacker.com/software/top/geek-to-live–choose-and-remember-great-passwords-184773.php Kanskje noe å prøve?
Ola Eirik Klingen, 28.08.2006 15:14
En veldig interessant kronikk! Jeg kjenner meg godt igjen i problematikken du beskriver med passord-regler ut av en egen verden. I vår organisasjon har vi søkt å innlemme åpningen av alle systemer fra intranettsiden. Gjennom dette har man mulighet til å styre innlogging fra en Single sign on tilnærming, samtidig som det er med å styrker intranettet som felles infokanal.
Man har som regel flere passord til flere systemer. Det som er mest irriterende er at hvert av disse systemene har sin egen utskiftingtakt. Det gjør at man til stadighet man dikte opp nye passord eller varianter av det gamle etterhvert som man blir tvunget til å skifte de gamle.
Min favoritt er å bruke et kjernepassord med et tosifret tall sist i rekken, slik kan man holde på passordet i mange mange år. Så blir det bare å holde på hvilket system som bruker hvilket tall akkurat nå…
Martin Gjesdal, 28.08.2006 16:54
Kan jo dra frem et eksempel med en gjeng nerder som i 1998 tilbydde gratis shell-tjenester til hvem som helst. Brukernavn og passord som nye brukere opprettet ble så brukt på alle de store shell-tjenerne og de fikk “hacket” seg en overraskende stor del kontoer. Fordi alle hackere hadde samme brukernavn og samme 14-sifrede vanskelige passord overalt.
Martin Vikesland, 05.09.2006 21:23
Her er noen som forsøker å hjelpe oss på passord-fronten: http://www.safepasswd.com/ Ikke med å huske, men med å generere….
Pingback: → Brukervennlighet vs. Sikkerhet vol. 2 — iAllenkelhet