Vilse i passwordens djungel

Det råder en hysteri när det gäller lösenord. Nja, kanske inte ren hysteri, men problemställningen är att en normalfuntad människa inte kan komma ihåg alla identiteter och password.

Ärligt talat: har inte du åxå en lapp under tangentbordet, musmattan eller i översta lådan där alla identiteter och password är uppskrivna?

Det är bankomatkoder, kontonummer, personnummer, registreringsnummer på bilen, tankkortskoder, portkoder, telefonnummer, m.fl. bara utanför datorernas förlovade land. Därtill kommer alltså login-identiteter på servrar och nätverk. Och ovanpå det allstå alla identiteter man har på nätet med kopplade passwords. Det är helt enkelt så i mitt fall att jag kan komma ihåg alla dessa koder, och alltså skriver jag upp dem. Värst är när man på sitt arbete är tvingad att byta kod med viss frekvens och den nya inte får vara för lika någon av de senaste 12 som använts, samt givetvis rätt komplicerad med ett visst antal tecken eller så.

Alltså har de säkerhetivrande datornissarna uppnått precis motsatt effekt. En normalperson kan inte komma ihåg alla identiteter och passwords till olika mailsystem, webbsidor man är på, o.s.v. alltså måste man skriva upp vilken identitet och password man har vilket system. Slutsatsen av detta är att den lilla lappen med alla identiteter och passwords egentligen är en större säkerhetsrisk än att ha enkla, självvalda password som man inte behöver byta. Vet man att ett visst password är kritiskt och det enda man behöver komma ihåg, kommer man ihåg det och ej heller skriver man upp det.

Det finns tre säkerhetsnivåer som är:
1. Något man har, t.ex. passerkort,
2. Något man vet, t.ex. en identitet och password,
3. Något man är, fingeravtryck eller regnbågshinnans färg och utformning.

Sedan kan man kombinera dessa tre på valfritt sätt för att uppnå högre säkerhet.
Men, genom att ha många identiteter och komplicerade passwords och tvinga användarna att byta dessa med viss frekvens uppnår man ingenting. Tvärtom, man tvingar bara ner användarna från säkerhetsnivå två till nivå ett.
Man kan ju givetvis som det beskrivs i artikeln, i DN, http://www.dn.se/nyheter/sverige/skrapinfo-fran-barndomen-bra-losen-1.827518, snacka om skräpinformation från barndomen m.m., men problemet kvartsår och ger bara en temporär lösning. Dels p.g.a. att källan är relativt uttömlig, och vidare är det ju så att ju längre tillbaka vi pratar om desto sämre minne har man.

Lösning är egentligen enkel; till FRA’s fasa. Det är kryptering med öppen nyckel. Med en sådan nyckel envägskrypterar man informationen och ingen annan än mottagaren kan läsa den. På 70-talet kom tre herrar i USA på hur detta ska fungera, och med en enkel och basal algoritm uppnår man en mycket hög säkerhetsnivå. För att förklara det enkelt, kan man säga att jag ger dig ett tal, 36, vilket du ska använda när du krypterar meddelanden till mig. Sagt och krypterat. Då blir jag den enda som kan dekryptera meddelandet, eftersom jag är den enda som vet varför just 36 är talet och hur jag kommit fram till just det talet. Är det 6 x 6, 36 x 1, 12 x 3, eller 1+1+1+1+1+…=36 eller kanske 5+11+1+1+2+16.
Mjukvaran finns idag tillgänglig på nätet och heter RSA (efter Rivet, Shamir och Aldeman), som kom på algoritmen. En annan släppte den fritt på nätet och den heter då PGP (Pretty Good Privacy).

Så släng lappen under musmattan, kryptera istället!