Den i särklass vanligaste metoden att verifiera sin identitet (autentisera) på internet är att använda användarnamn och lösenord (eng. username & password).
Användarnamnet är i vissa fall en giltig e-postadress eller något godtyckligt man väljer själv, unikt för det system/tjänst man vill komma åt. Det kan också vara båda, som t.ex. Twitter, där man kan autentisera sig med antingen ett godtyckligt valt och unikt användarnamn eller en giltig e-postadress.
Utöver användarnamnet behövs det en hemlighet, något som bara innehavaren av användarnamnet vet. Denna hemlighet brukar man kalla lösenord. Vissa system har lite regler för hur lösenordet skall konstrueras men oftast är det fritt fram att välja vad man vill.
Detta är i teorin en bra metod. Problemet är att metoden baserar sig på något vi vet, alltså något vi måste minnas samt att majoriteten av alla människor inte har en aning om vad lösenordsentropi är.
Vi vill gärna göra det enkelt för oss och väljer helst ett lösenord som är lätt att komma ihåg. Det kan vara namn på barn, partner eller husdjur. Tyvärr innebär det att vad som är lätt för dig också är lätt för någon att gissa eller att använda en dator för att knäcka.
Någon som minns föregående års händelser med lösenordsdatabaser, som någon fått tag på genom dålig säkerhet på internetforum, vilka publicerades på flashback. Hur vissa hade lösenord som "password", "sommar" eller varför inte klassikern "snutten".
Några har insett att lösenordet behöver vara lite klurigare vilket ofta, dessvärre, för med sig att det är svårare att minnas. En lösning är förstås att skriva ner dem på en lapp. Det kan funka om du bara har datorn hemma och aldrig behöver ta med lappen och inga nyfikna kompisar eller familjemedlemmar.
Det är ju nämligen så att sammantaget alla system man vill komma åt, så blir det en hel del lösenord och användarnamn att komma ihåg. Jag har själv runt 20 st.
Så det är i realiteten två problem.
1. Att kunna skapa bra lösenord.
2. Komma ihåg dessa.
Så det är helt kört då?
Självklart inte. Lär dig att skapa bra lösenord. Använd alltid olika lösenord till varje system.
Hur skapar jag ett bra lösenord:
http://www.microsoft.com/security/online-privacy/passwords-create.aspx
Fuskvarianten - ge mig ett bra lösenord:
http://makemeapassword.net/
Testa ditt nya lösenord:
http://howsecureismypassword.net/
Testa en gång till för att vara säker (tack @skopat på Twitter för tips):
https://www.grc.com/haystack.htm
Så. Nu har du relativt säkra lösenord, givet att du orkade titta igenom länkarna ovan och bilda dig en uppfattning om hur ett säkert lösenord skall konstrueras. Problem 1 är ur världen.
Nu återstår problem 2. Alternativet att skriva ned dem på en lapp eller lagra dem i telefonen är ju behäftat med ett stort problem. Tappar du någon av dem så är du rökt. Förvisso finns det återställningsfunktioner för de flesta system på internet men de brukar förlita sig på att du kommer åt någon e-posttjänst - kommer du i håg lösenordet till den?
Som tur är finns det en vettig lösning på detta. En lösenordshanterare (password manager).
Googla gärna "password manager" och hitta en som passar dig. För att förenkla tänkte jag dock tipsa om några stycken.
Gratis (Open Source) : KeePass http://keepass.info/download.html
Gratis + betalalternativ : LastPass https://lastpass.com/
Betalalternativ : 1Password https://agilebits.com/
Gratis + betalalternativ : SecureSafe http://www.securesafe.com/en/security.html
Med SecureSafe och LastPass kan man även höja säkerheten ett snäpp om man är beredd att betala (tvåfaktorsautentisering).
Dessa lösningar har gemensamt att man endast behöver ett lösenord. Som en "huvudnyckel" för att kunna använda alla de andra. Detta lösenord skriver man lämpligen ned på en lapp och lagrar på ett säkert ställe. Inte i telefonen eller plånbok alltså.
Ett lösenord kommer du rimligen komma ihåg - råkar du glömma så finns lappen där.
Notera att inga lösenord är säkra i ordets bemärkelse. Det gäller att göra det tillräckligt krångligt - vilket tipsen ovan syftar till.
Picture from http://leozetteroode.wordpress.com/2010/03/28/i-am-a-frustrated-cput-stakeholder/
Inga kommentarer:
Skicka en kommentar