Att skapa ett säkert och användarvänligt lösenordsskydd

Går det att skapa ett säkert och användarvänligt lösenord? Låt oss först titta på hur säkra de vanligaste typerna av lösenord är. (Den, med tanke på lösenordstypen, snabbaste metoden för att hacka, har valts och det har antagits att inloggningssidan klarar 100 försök per sekund).

Lösenordstyp Lösenord Metod Tid Säkerhetsnivå
6-tecken slumpmässigt valda bokstäver Qwerty Bruce-force 3 månader Låg säkerhet
6-tecken slumpmässigt valda bokstäver och siffror ergs43 Bruce force 8 månader Hög säkerhet
6-tecken slumpmässigt valda bokstäver, siffror och specialtecken G3dS&2 Bruce force 219 år Livstidssäkert
6-tecken vanligt ord Orsaka Vanliga ord 3 minuter Värdelöst
6-tecken, ovanligt ord ohemul Ordbok 1 h 20 min Värdelöst

Tabell 2

Som vi kan se av tabell 2 ovan är det mest komplexa lösenordet, G3dS&2, också det som är svårast att hacka. Innebär det då också att IT- och säkerhetsfolket har rätt när de säger att vi skall använda oss av den här typen av lösenord för att de är säkrast? Nej, så enkelt är det inte, för ju krångligare lösenord desto större risk att det skrivs ner på en lapp och därmed kan upptäckas. Vad som behövs är alltså ett lösenord som både är lätt att komma ihåg och har hög säkerhet.

Lösenordstyp Lösenord Metod Tid Säkerhetsnivå
Två vanliga ord Orsaka fel Vanliga ord 15 dagar Mellansäkert
Tre vanliga ord bara vi tre Vanliga ord 634 år Livstidssäkert

Tabell 3

Rent datatekniskt och därmed hackermässigt sett, består lösenordet ”bara vi tre” av 9 bokstavstecken och två specialtecken. (Många lösenordssystem accepterar inte vissa specialtecken. Mellanslag samt de svenska bokstavstecknen å, ä, ö är exempel på sådana tecken som kan vara otillåtna att använda. För att komma runt detta kan man i stället för att skriva ”bara vi tre” skriva till exempel ”bara_vi_tre” eller ”bara@vi@tre” eller avskilja orden med något eller några andra tecken som ändå gör det lätt att komma ihåg.)

Därmed kan vi slå fast att det går att skapa både användarvänliga och säkra lösenord, till exempel genom att använda sig av tre-ords-lösenord.

Programmerare kan förbättra säkerheten

Tyvärr är de som bygger webbsidor ganska enögda och springer alla åt samma håll. Om de ville skulle de lätt kunna öka säkerheten, men de anser tydligen att det är enklare att lägga ansvaret på användaren. En enkel programrad som fördröjer tiden mellan två inloggningsförsök till samma konto med fem sekunder stör inte normalanvändaren. Även om man skulle råka skriva  fel lösenord, tar det mer än fem sekunder att se att det blev fel, skriva in det rätta lösenordet och trycka på enter eller datormusen. Användaren skulle med andra ord aldrig märka fördröjningen. För hackaren är det dock en stor skillnad mellan 100 försök/sekund och ett försök var femte sekund. Att skriva och lägga in en sådan begränsningskod tar inte ens en tiondel av den tid det tagit för dig att läsa denna artikel fram till hit, men som sagt, alla springer åt samma håll och ingen stannar upp och funderar på vad de håller på med.

Som extra åtgärd kan man till exempel lägga in en timmas fördröjning efter 10 felaktiga försök och man får ett skydd som, ur hackersynpunkt är i princip omöjligt att ta sig igenom. Ett två-ords lösenord som ”orsaka fel” skulle då teoretiskt ta 472 år att knäcka i stället för 15 dagar. Det bör påpekas att jag vid denna beräkning använt mig av svenska ord, tar vi med i beräkningarna att man faktiskt även kan använda sig av engelska ord stiger värdet 472 år till mer än 2000 år! Tar vi också med norska. danska, tyska …. ja, du förstår säkert. Det blir astronomiska siffror.

Därmed hoppas jag att jag har klargjort att det här med behovet av krångliga lösenord är rent nonsens och att byte av lösenord var tredje månad är trams. Det hela beror på ett feltänk. Lös problemet vid källan i stället för att göra det till ett användarproblem.