Skip to content

En verden uden passwords

En af de hyppigere opgaver, vi nørder bliver sat på, er nulstilling af kodeord. Ikke mindst fordi mange mennesker ikke er klar over at de bruger passwords til f.eks. e-mail. Hvis du ikke selv har sat din e-mail op i dit mailprogram, og vedkommende, der gjorde det, ikke har fortalt dig et du har en adgangskode, så vil du aldrig blive mødt med et krav om at indtaste en kode. Mange programmer husker jo koder for en.

Kodeord er lige så gammel som menneskeheden. Altså det er måske lidt overdrevent, men den romerske hær brugte allerede kodeord til at bedømme om en person havde adgang til f.eks. en del af lejren.

Brud på sikkerheden

I starten var det normalt at et såkaldt ”watchword” blev skrevet ned (eller rettere sagt: indgraveret i en plade af træ) – men da teknikken blev forfinet, gik det hurtigt op for militærfolk at koder, der er skrevet ned, nemt kan komme i de forkerte hænder. Der opstod hurtigt enighed om, at det var bedre at koder skulle huskes i folks hoveder.

Passwords er stadigvæk passwords

Den overbevisning blev prædiket da computere fandt vejen til de private hjem. En af de første systemer, som blev brugt af flere mennesker (et system ved navn CTSS), havde en mulighed for at logge ind med et unikt brugernavn, fulgt af et kodeord. Når kombinationen var blevet godkendt, kunne systemet afgøre hvad vedkommende havde adgang til. Og den teknik, som stammer fra 1961, bruger vi stadigvæk anno 2018. Der er sket nogle ændringer undervejs, men stort set virker det stadigvæk som i tidernes (eller computerens) morgen. Og stadigvæk bliver der sagt, at passwords er designet for at øge sikkerheden, og at det er et brud på samme sikkerhed, når en kode bliver skrevet ned.

Antallet vokser

I 1961 var det begrænset hvor mange mennesker brugte CTSS, men i de år der fulgte, kom der flere og flere systemer, som brugte brugernavne i kombination med kodeord. Især i det 21. århundrede eksploderede antallet af systemer, vi bruger. I halvfemserne havde vi stort set brug for to koder, som ofte var ens: en kode for at oprette forbindelse til Internettet, og en kode for at sende og modtage e-mail. Og heldigvis havde begge systemer mulighed for, at koden blev gemt på computeren, sådan at vi ikke skulle huske de koder. Godt nok blev de blev gemt krypteret, og kun hvis en ondsindet person kendte til krypteringsnøglen (også et password, men et som blev holdt meget hemmeligt), men det ændrede ikke på det faktum, at hele systemet med passwords gik forbi folks hoveder. Vi hører stadigvæk folk sige: ”Jeg har aldrig haft en kode”. Dels, fordi systemerne har lært folk at de ikke behøver huske det, ved at have muligheden for at huske koderne for dem, og dels fordi de mennesker, der har sat systemet op for en, ”glemte” at fortælle vigtigheden om passwords.

Det samme igen og igen

Efterhånden har mange mennesker en konto på Facebook – med tilhørende brugernavn og adgangskode, en konto på LinkedIn, Netflix, et login til deres alarmselskab, NemID, en Google-konto, et abonnement på Jydske Vestkysten, flere e-mailadresser, en AppleID og en hel bunke af hjemmesider hvor de logger på regelmæssigt. De fleste mennesker betragter det som en velsignelse at de ikke skal huske de koder til mange systemer. Men når der så opstår et problem, f.eks. en computer der går i stykker, og de skal logge på alle systemer fra en ny computer, så er fanden løs. For så skal du pludseligt huske rigtig mange koder. Og har du så brugt flere e-mailadresser i årenes løb og muligvis ikke længere adgang til dem, så sidder du med et problem. Derfor bruger mange mennesker det samme password for alle systemer. Og vi må indrømme, at vi også har anbefalet det til de fleste af vores kunder i årenes løb.

Stærke passwords kan være svage

De fleste moderne systemer stiller visse krav til et password, du vælger. Og selvom det kan virke meget belastende, er det egentligt heldigt at mange systemer har forskellige krav om hvad der kendetegner ”et stærkt password”. Microsoft siger for eksempel, at et stærkt password skal indeholde et lille bogstav, et stort bogstav, et tal og et specielt tegn (f.eks. udråbstegn eller dollartegn), og desuden skal passwordet være mindst 8 tegn og maksimalt 16 tegn. Det sidste krav begrænser styrken, og det er derfor at mange andre systemer ikke har en maximal længde. Til gengæld har youSee i mange år krævet 2 tal i den kode, du vælger.
Mange systemer husker også de passwords du har brugt før, og forbyder dig at genbruge dem igen. Dermed tvinges folk til at have forskellige koder fra system til system – og det er egentligt godt. For hvis du har den samme kode, selvom den betragtes som ”stærk” , på Facebook, din mail, dit alarmselskab og på biblioteket, og den kode kommer i de forkerte hænder, så har vedkommende adgang til det hele. Og så er det intet værd at du har et stærkt password.

Gem dine koder i e-Boks

Lige som de gamle romere, anbefaler vi at du skriver koden ned. Men du skal ikke gemme koderne i en skrivebordsskuffe, eller i en notesblok ved siden af din skærm. Vores råd er, at du gemmer din liste med koder i din partners e-Boks. Eller hvis du ikke har en partner, så kan du vælge en ven du stoler på, eller et af dine børn. Ikke fordi e-Boks ikke kan hackes – det kan den. Men du har brug for den anden persons hjælp (eller i hvert fald tilladelse) til at tilgå din liste med koder, og desuden bruger e-Boks en såkaldte to-faktor-godkendelse, hvor du, udover et brugernavn og en adgangskode, skal bekræfte adgangsrettigheden via et nøglekort, nøgleviser eller en app på din telefon. Fordelen er også, at når du en dag forlader denne jord (og det gør du en dag!) så er der en chance for at dem, du efterlader, kan lukke dine konti for dig. Dem kan du af gode grunde ikke selv lukke mere.

Hvad gør vi så nu?

For det første anbefaler vi, at du finder på en standard, som kun du kender, og som gør at dine koder ikke er ens. Det kan f.eks. være at du vælger de første tre bogstaver af navnet på det pågældende system, fulgt af de sidste tre cifre i dit bankkontonummer, derefter dit fornavn omvendt, to valgfrie specielle tegn og et mellemrum. Og så må du håbe at den standard bliver accepteret af alle systemer.
Derudover skal du renskrive de koder du har, og gemme dem i en anden persons e-Boks. Og kun der. Slet alle kopier af listen andre steder.

Fremtiden

I april 2018 offentliggjorde Google en video  med den verdensberømte Frank Abagnale. Du kender ham måske fra filmen Catch Me If You Can. Frank Abagnale var 16 år, og løb hjemmefra, da han ikke kunne vælge mellem sin mor og sin far i deres skilsmisse. Han fandt hurtigt ud af, at en gut på 16 år ikke fik et job med mange timer, og heller ikke så meget i løn. Han havde kørekort (det var jo i UsA), og han så rimelig gammel ud for hans alder. Så han ændrede fødselsdatoen på kørekortet, og pludseligt var han 26 år. Det gav ham nye muligheder. Det var starten på en årrække hvor han lærte at forfalske dokumenter og checks. Naturligvis blev han pågrebet en dag, og hans sidste del af straffen fik han lov til at afsone ved at arbejde for FBI. Han har aldrig forladt FBI. Han var jo ekspert i forfalskning, og kunne dermed hjælpe FBI på at få fat i falsknere.
I Google-videoen fortæller Abagnale om sikkerheden, hvordan det har udviklet sig og hvordan det bliver i fremtiden.

“Teknologi føder kriminalitet”

En af de guldkorn, Abagnale kommer med er: Teknologi føder kriminalitet, og der vil altid være mennesker, der bruger teknologi på en egoistisk måde. Han mener, at så længe der vil være tekniske foranstaltninger, så ville der være mennesker der vil misbruge det for egen vindings skyld. Og jo mere vi får tingene til at kommunikere, desto mere vil vi være sårbare overfor uautoriserede handlinger. Han tager som eksempel et køleskab, der kan fortælle hvor meget mælk der er i den. Og for ikke at være løgn findes der en brødrister der kan betjenes via en app. Det betyder at begge apparater har fået kommunikationsevner. De har levet i mange årtier ved siden af hinanden uden at de havde en grund til at kommunikere, men nu kan de. Desuden, siger Abagnale, kan vi nu slukke en pacemaker når vi er tilstrækkelig tæt på den, men teknologien gør os i stand til at gøre det samme fra 8.000 kilometer. Det, Abagnale gjorde mellem 1964 og 1970, var i en tid hvor det var meget sværere at få fat i informationer. Nu ligger informationer om alt tilgængeligt for alle, og det gør at der bare skal være en person der har interesse i at en anden persons pacemaker bliver slukket, gør det. Kriminalitet på Internettet, med andre ord, er ikke længere et spørgsmål om det kan lade sig gøre, men hvornår det sker. Og det kun på grund af vores umættelige tørst efter forenkling af vores tilværelse, ved at sætte systemer i gang til at arbejde for os. Efter Abagnales tale på en halv time besvarede han spørgsmål fra publikummet. Et af spørgsmålene var, hvad vi kunne gøre imod at blive hacket.

De fire sikkerhedsniveauer

Abagnale svarer, at vi skal hen imod det, han kalder ”Niveau 4 Sikkerhed”. For at kunne forstå hvad han mener med det, skal vi vide hvad de fire niveauer så indebærer.
Niveau 1 er sikkerhed, baseret på overflade-oplysninger. Det kan f.eks. være et billede-ID, en fysisk nøgle, et fingeraftryk eller en irisscanner. Eftersom niveau 1 tager data som er synlig (dog måske svært at gennemskue) , er dette niveau det mest usikre. Det kan forholdsvis nemt kopieres.
Niveau 2 er data, som er indbygget i noget andet. Disse oplysninger kan ikke ses, og der skal specielle mekanismer til for at læse disse data. Det kan være data på en chip, på en magnetstribe, på et hulkort, eller gemt i lydsignaler.
Niveau 3 er en kombination af alle mulige foranstaltninger til at beskytte data. Det kan være at nogen har taget et billede-ID som er scannet ind, og krypteret på den måde, at det ikke kan dekrypteres. Kun hvis du har det samme billede, scannet ind i præcis samme størrelse, og bruger den samme krypteringsmetode, så vil resultatet af din kryptering være den samme som krypteringsmetoden som den anden person brugte. Et meget simpelt eksempel: Hvis resultatet af min kryptering er 8, så kan den matematiske beregning være 2*4. Men det kan også være 9-1. Eller ((70/10)+1). Niveau 3 sikkerhed tager altså udgangspunkt i alle facetter omkring sikkerhed.
Niveau 4 findes officielt endnu ikke. Der er på nuværende tidspunkt 3 niveauer. Og derfor siger Abagnale, at vi skal bruge en fjerde niveau. Han peger på noget, der hedder Trusona. Trusona er en virksomhed, som er grundlagt i 2015, og som har lavet et sikkerhedssystem til FBI.

En verden uden passwords

Abagnale drømmer om en verden uden passwords. Og han siger at det allerede ville være om to år (sagde han i april 2018). Det ville være fantastisk. Og der er sikkert mange virksomheder der vil implementere et password-fri system. Det ville spare menneskeheden for en masse bøvl, og det ville spare kundeservice-medarbejdere rundt omkring i verden en hulens masse tid på nulstilling af koder. Det ville spare verdenen for utrolig mange milliarder kroner. Men foreløbigt bliver det ikke til en ny standard. Det kræver nemlig at et stort flertal af alle mennesker er med. Og så længe mennesker er bange for det ukendte, eller i det mindste ser på det ukendte med skeptiske øjne, er vi bundet til et af de første tre niveauer for sikkerhed. En verden uden passwords er lige nu en utopi. Desværre. Det kunne være dejligt. Og det kommer.

 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.