Passordekspertens beste råd: Glem passordene du sjelden bruker

Topic: Sikkerhet

Cecilie Wian
06.12.2018

Mange hengelåser som henter på et gitter
Passordeksperten Cecilie Wian forklarer hvorfor passord til datingsider ofte inneholder sexreferanser og hvorfor du gjør rett i å glemme unødvendige passord.

 

Jeg jobber som konsulent hos Knowit i Bergen, og har bakgrunn som pedagog og interaksjonsspesialist mellom mennesker og datamaskiner. Jeg ser på passord fra et litt annet perspektiv enn folk flest. Passord diskuteres veldig mye fra en teknisk sikkerhetsperspektiv, men for meg omhandler emnet mye mer.

For noen uker tilbake holdt jeg et foredrag på Internetdagarna, Sveriges viktigste møteplass for alle som elsker internett.

Passord er psykologi

Passord er kulturelle, og hva du velger som passord kan si mye om hvem du er og hvilket miljø du vanker i. Når jeg går gjennom lister over de vanligste passordene for ulike år, kan jeg se at enkelte ord forekommer oftere enn andre. Det kan for eksempel være fordi "Game of Thrones" dukket opp det ene året. Slike fenomener gjenspeiler den håpløse situasjonen mange mennesker befinner seg i når de skal velge et passord.

Hvorfor er det håpløst?

Det er en forhastet beslutning. Du tar det første og beste du kommer på. Det henger mye sammen med sosial tilhørighet og personlighet, for eksempel fotballag, tv-serie eller tjenesten det gjelder. Passord for datingtjenester inneholder for eksempel ofte referanser til sex. Det er noe veldig menneskelig ved det, og jeg lurer på om vi kan få noe positivt ut av det.

Det handler ikke bare om å sikre systemer rent teknisk: Man kan implementere fantastisk høy sikkerhet og så sprekker den på grunn av dårlige passord. Man må ha respekt for folk som bruker IT som verktøy, og ikke som levebrød.

Passord skal være et hinder – men ikke for deg selv

Meningen med et passord er at det skal være et lite hinder for deg, og et stort hinder for uvedkommende. Jeg kjenner imidlertid at det tekniske ikke alltid støtter opp om dette, for realiteten i dag er at passord ofte er et stort hinder for brukeren og en enkel nøtt å knekke for forbrytere.

Jeg vil tilbake til den opprinnelige meningen med passord. Da må vi jobbe med ting vi kan påvirke. Vi kan jobbe med grensesnittet, men vi kan ikke jobbe ut ifra hvorvidt folk har en bra dag, hvor bra hukommelse de har eller hvor interesserte de er. Vi må ta vare på situasjonen når folk skal lage et passord, gjøre små forandringer som hjelper, oppmuntre og ta vare på folks følelser, og gjøre dette til en mindre krevende opplevelse. Og vi må jobbe for å unngå at folk mislykkes.

Hvordan bør klassiske grensesnitt se ut?

For det første bør man tenke på om brukeren virkelig trenger et passord. Om man skal kjøpe noe i en nettbutikk – trenger man virkelig et passord for det? Amazon har gått bort fra dette, Ebay også. De sier at du kan kjøpe ting her, for det er det du vil, men om du vil gå tilbake og se dine tidligere kjøp og så videre, først da trenger du å opprette en konto. 

I de fleste nettbutikker starter opplevelsen med et slikt scenario. Du er ute etter noe helt annet, og så kommer dette hinderet "in your face" før du får fortsette med det du egentlig er der for å gjøre. Passordsituasjonen avbryter det du holder på med. Det er ganske enkelt forstyrrende.

Så det er det første steget. Må det være der? Kan vi ikke akseptere at dette steget kan komme senere? For de fleste nettbutikker er det jo langt mer viktig at de får betalt enn at de må vite hvem som handler.

Jeg tror også at man bør foreslå passord for brukeren: For eksempel et komplekst passord som brukeren selv kan forenkle til det føles komfortabelt. Dessuten er det absolutt ikke feil å skrive ned passord.

Trenger man egentlig passord?

Jeg har snakket med folk som bekymrer seg for hvordan de skal implementere passord, og det viser seg at tjenesten deres legger til rette for at brukeren kommer til å bruke passordet sitt kanskje en eller to ganger i løpet av hele sitt liv. Da trenger man ikke passord, og kan løse det på annet vis.

Men ja, vi trenger passord. Det finnes mange fine fordeler med dem. For det første kan de byttes ut! Fingeravtrykket ditt kan ikke byttes ut, og tenk hvor mye arbeid det er med å bytte ut e-posten din. Så passord er bra, vi må bare minimere de tilfellene der de trengs så man slipper å havne i en situasjon der man må skrive inn passord flere ganger om dagen.

Hva med tjenester som foreslår nonsensord?

Vel, det kan fungere ganske bra, men det passer ikke for alle. Det viktigste er å trigge kreativitet hos brukeren, og at hen bruker hele hjernen og ikke bare den lille delen som handler om å komme forbi et hinder så kjapt som mulig. Da har vi skapt noe mer enn bare irritasjon, og vi får et mye bedre resultat. Det leder rett og slett til bedre passord, og det er jo meningen. Om man bare irriterer brukeren oppnår man ingen verdens ting.

Hvordan jeg selv lager passord?

Jeg bruker en kombinasjon. For det første jobber jeg som konsulent, hvilket innebærer at jeg jobber med mange ulike kunder. Da bruker jeg et passordlagringsprogram som har forskjellige "hvelv" for ulike kunder. Det er helt nødvendig. Men når jeg som privatperson støter på tjenester som jeg vet jeg bare kommer til å bruke én gang, eller veldig sjelden, da bryr jeg meg ikke om å huske det: Jeg bare finner på hva som helst som er langt, skriver det inn igjen, og så glemmer jeg det. Det er aldri meningen at jeg skal huske dem – det viktige er at de er unike.

Om jeg mot formodning skulle trenge passordet igjen, bruker jeg "Glemt passord"-funksjonen. Det er mye enklere enn å komme på passordet.

Om jeg har et spesielt "system" for passord?

Nei. Jeg legger i og for seg lite prestisje i å komme på kreative passord. Man hører snakk om mange ulike systemer, men jeg vet ikke om jeg tror på dem. De er ofte veldig svake, og enkle å knekke. Noen legger på ulike sifre på slutten og lignende, eller legger til tjenestens navn, og da blir det for enkelt. Da blir de for like.

Hva jeg synes om systemer som tvinger brukeren til å bytte passord med jevne mellomrom?

Det er så dumt! Det som ofte skjer er at brukeren endrer et tegn på slutten, og det øker ikke sikkerheten i det hele tatt. Systemer er dessuten ofte ganske dumme: ofte kan du ikke bruke samme passord 21 ganger. Mange jeg kjenner gjør det da slik at de bytter passordet 21 ganger. så de kommer tilbake til det passordet de egentlig vil ha. IT-folk gjør dette hele tiden, de kan jo reglene.

Vi må som sagt tenke mer på brukerne. Det er ikke noe feil med dem, det er noe feil med systemene. Når folk sitter på jobb og stadig må angi passord for 5–10 ulike tjenester så blir de bare irriterte. Vi må tenke på om vi kan løse det på en annen måte. Det finnes mange metoder, men det er fremfor alt et spørsmål om mentalitet, og at vi begynner å tenkte på brukeren uten å forsømme sikkerheten.

Råd til dere som synes det er vanskelig å lage passord

Tenk på at du skal møte dette passordet flere ganger om dagen, hva har du lyst til å si til deg selv? Jeg har en venn som sluttet å røyke og brukte livssituasjonen sin for å finne på passord. Du glemmer ikke så lett at du prøver å slutte å røyke.

Men for profesjonelle brukere anbefaler jeg et passordlagringsprogram, som f.eks. 1Password, som fungerer veldig bra. Mange bruker også en app på mobilen, og det kan også hjelpe. For vanlige brukere vil jeg tipse om den innebygde passordhåndteringsprogrammet i iOS12/Mojave, eller LastPass.

 

 

Innholdet i blogginnlegget er hentet herfra: https://computersweden.idg.se/2.2683/1.710639/glom-losenord

Se hele talken fra Internetdagarna her:

 

 

 

Abonner på vårt nyhetsbrev