Osäker på om du är säker?

Kattungen hade lagt huvudet på sned och såg så söt ut att jag bara väntade på att den skulle jama och tigga grädde. Det var inte bara på skärmsläckaren som katten tittade fram. I min deltagares kontorsrum fanns åtskilliga bilder på den lilla krabaten och en barnteckning med en pratbubbla där det stod. Fantomen äger! Jag gissade att det var den skånska kvinnans barn som målat bilden (hoppas jag).

När hon loggade in på sin dator blev jag därför inte ett dugg förvånad när jag såg henne knappa in det hemliga lösenordet som skulle skydda henne mot attacker från omvärlden. Med en bekymrad min frågade jag henne om hon möjligtvis använde detta lösenord på andra platser i sitt liv? Facebook, privata datorn, banken? Hon nickade ivrigt och svarade med den sydländska charmiga dialekten. “Jao, visst är det bra?! Så enkelt att komma ihåg!”

När jag sitter ute hos deltagare efter deltagare börjar jag allvarligt fundera över hur det står till med IT-säkerheten på våra arbetsplatser och i våra hem? Skyddar du dina tillgångar med lösenord som en femåring skulle räkna ut? Använder du namnet på dina barn, din älskling eller ditt husdjur?

Vi som jobbar med effektivitet och ska ge dig de smartaste lösningarna på hur du kan få mer gjort utan att jobba mer, måste ta oss igenom oändliga kurser och föreläsningar för att leverera kvalitet till våra deltagare. Många av dessa betonar vikten av IT-säkerhet. Jag kan säga att min motivation inför ämnet har varit på minus sju, men ju fler år jag coachat deltagare och suttit vid dator efter dator, så måste jag erkänna att vi verkligen behöver skapa mer inspiration till högre säkerhetsmedvetande. Med tanke på hur systemen fungerar, så är vi oerhört sårbara och nästintill naiva i vårt sätt att skydda oss i cyberrymden.

Låt oss först förtydliga vad som menas med IT-säkerhet. I över 20 år har det fastslagits att grundtrojkan för IT-säkerhet är CIA:

Confidentiality (Sekretess)
Integrity (Riktighet)
Availability (Tillgänglighet)

Även om många idag vill utöka denna CIA-triad till att även innehålla autenticitet (äkthet) och oavvislighet (mottagningsbevis), så får man en god förståelse för det vi vill uppnå med alla IT-säkerhetsfunktioner.

Hot mot obehörig läsåtkomst av data (sekretess), hot mot ändring av data (riktighet) samt hot mot tillgänglighet av data.

För att mota Olle i grind ser vi till att identifiera oss och verifiera vår identitet. Vi har åtkomstkontroll baserat på vem vi är och vilken roll vi har och vi vill också kunna spåra vem som gjort vad och när.

OK – då börjar vi med att ange vem vi är, det brukar inte vara något problem. Sedan ska vi verifiera vår identitet…. och då händer det underliga.

För det första är det märkligt att så få använder något annat än lösenord för att verifiera sin identitet. För det andra verkar vårt tankesätt kring lösenord vara minst sagt okomplicerat.

Det finns väldigt ofta en lösenordspolicy på företag. Men ändå tillåts vi använda ganska enkla kombinationer av ord och siffror: Vanligt är:

  • Det som kan förknippas med dig som person och som du försökt variera i det oändliga.
  • Namn på din partner, barnens födelsedag, något om dina intressen, svärord etc.

Ofta kan man nästan gissa att, ” Elsa, som gärna pratar om sin familj, har säkert något av barnens namn i sitt lösenord och Jens som är en riktig skämtare har säkert något svärord i kombination med chefen eller företagets namn, eventuellt så har han ett lösenord som har med rockgruppen Motörhead att göra”.

Ja, hur ska vi annars komma i håg alla dessa lösenord om vi inte kan hänga upp minnet av dem på någon regel?

Dessutom ska vi ju inte bara logga in i ett system eller en applikation. Handen på hjärtat hur går det med Single-Sign-On  (att bara behöva identifiera och autentisera sig en gång) på företaget?

Utöver det så är du tyvärr i gott sällskap om du använder samma lösenord, inte bara på jobbet, utan även på LinkedIn, Facebook, MSN/Hotmail, TicNet, ATG etc. Om en lösenordsfil läcker från något av dessa konton på nätet kan det gå illa.

Lösenord och minnesteknik

Att ha bra minne handlar om att ha en bra teknik för att minnas saker. Hjärnan arbetar holistiskt, och den kan inte minnas saker som inte är relaterat till någonting annat. Därför associerar den ihop ett minne med ett annat. Man kan då utnyttja denna metod genom att hjälpa hjärnan att associera det man vill minnas med andra saker.

Ett gammalt knep att få till lite mer avancerade lösenord är att hänga upp dem kring en mening. T.ex. meningen ”Jag och mina 8 kloka kollegor byter lösenord väldigt ofta” skulle generera lösenordet ”Jom8kkblvo” eller “Det viktigaste i mitt liv är mina 2 söta barn.” ”Dvimläm2sb”

Det ligger ju i sakens natur att det är besvärligt att komma ihåg alla lösenord och PIN-koder och som följd blir säkerhetsnivån lägre med tiden då det är svårt att minnas alla olika koder om vi inte ”fuskar” och förenklar våra kom-ihåg-regler.

Ett sätt är givetvis att välja nivå efter våra eller företagets krav på komplexa lösenord. M a o vi kanske inte behöver byta lösenord på Hotmail lika ofta som på företagsdatorn samt kan ha ett mindre komplext lösen där.

Men räcker det bara med ett smart lösenord? Med de avancerade program som finns idag, kan man väl hacka sig in i alla fall om man vill?

Med tanke på att vi idag har teknik som gör att vi kan verifiera våra identiteter på vad vi

ÄR (fingeravtryck)
HAR (smartcard eller s.k. token) så är det synd att vi bara använder det vi
KAN (lösenord, PIN).

Tänk om jag kunde använda mitt bankkort eller körkort kombinerat med en PIN-kod.

Bankkortet har ju redan nu ett chip som lagrar information om mig (nycklar, certifikat) som är skyddade av min PIN-kod. Med det har vi ju en verifiering där vi kombinerar det vi har och det vi kan – s.k. tvåfaktor autentisering.

Jag vet att det pågår utredningar och att en ny myndighet/nämnd för e-legitimation har sett dagens ljus i Sverige, men vi och övriga världen, verkar ha en lång bit kvar innan vi kan slippa några av alla dessa minneskrävande och svaga lösenord (ja, jag vet att Finland och Baltikum har kommit längre.)

Tänk om man skulle kunna ha ett medborgarcertifikat i ett smartcard, giltigt som pass, för inloggning på jobbet, hemma när jag deklarerar och handlar på nätet och besöker min läkare eller spelar på ATG.

Om du nu blir inspirerad till att byta lösenord på diverse inloggningar du gör privat och på jobbet, gör då inte som en av mina deltagare, som hade skrivit in en kom-ihåg anteckning till sitt lösenord för datorn i sitt Outlookprogram. Där låg det ju fint (och säkert) när minnet sviktade och datorn var avstängd…

Nu stänger jag av datorn och tar helg. Vi och bloggen är lediga nästa fredag och är tillbaka igen fredagen den 10 juni. Ledig och ledig… Med ömsom regn och sol har gräsmattan nått oanade höjder, tack och lov behöver jag inget lösenord för att starta gräsklipparen, bara en gräslig motivation.

En grön och skön helg önskar jag dig

Petra Brask

“Det blir bara stjärnor när jag skall skriva in lösenordet.”
Återkommande fråga på supporten

Lämna ett svar