Under dagen har Marcus Nohlberg, informationssäkerhetsforskare på Högskolan i Skövde, intervjuats om lösenord av Forskarliv i Sveriges Radio P1. I eftermiddag medverkar han i ”Efter fem” i TV4 och kommer att berätta vad användarna själva kan göra för att skapa säkra lösenord.
Lösenord är det kanske allra viktigaste verktyget för att hålla sig säker som enskild användare på internet. Det är som en nyckel till ditt mest värdefulla kassaskåp. Om någon annan kan gissa sig till, eller lura sig till, ditt lösenord kan de komma åt all din digitala information.
Marcus Nohlberg, lektor i datavetenskap, har tillsammans med Joakim Kävrestad, adjunkt i informationsteknologi, forskat kring hur man kan hjälpa användare att agera säkert på nätet. De konstaterar att det till stor del handlar om att IT-världen behöver komma med lösningar som är lätta att använda på ett säkert sätt. Säkerhet ska inte vara svårt. En del av det rör just lösenord.
Marcus Nohlberg beskriver att de flesta lösenord är väldigt dåliga. De är aningen lätta att gissa sig till eller så är de omöjliga för användaren att komma ihåg, vilket leder till att användaren använder samma lösenord för alla sina konton eller skriver ner lösenorden, vilket är ett stort problem i sig.
4P-principen säkrast
Baserat på den forskning som bedrivits på Högskolan i Skövde menar Marcus Nohlberg att ett bra sätt att bygga lösenord är baserat på principen 4P – att använda en mening på fyra ord som sitt lösenord. Ett lösenord bestående av fyra ord är säkert nog för att hålla borta de flesta angripare. För att göra frasen riktigt bra ska den också vara:
- Praktisk: Lätt att skriva, du behöver inte ha specialtecken
- Personlig: Något du valt, inte filmcitat, refränger eller liknande
- Privat: Knuten till dig, och bara till dig. Inte nedskriven.
- Provocerande: Snuskig, fräck, elak, hemsk. Något du inte vill säga högt.
Den här strategin hjälper användare att skapa lösenord som är säkra nog och som är användbara. Att säkerhetsfunktioner eller policys är användbara är något som Marcus Nohlberg och Joakim Kävrestad menar är en förutsättning för att användare ska ta dem till sig och därmed uppnå säkerhet. Det är meningslöst, och rent av farligt, att ha regler som inte följs.
Se hela inslaget i Efter fem i TV4
Marcus Nohlberg, lektor i datavetenskap.
Läs mer om Marcus Nohlberg och Joakims Kävrestads forskning om säkerhet ur användarperspektiv, i de vetenskapliga artiklar som de har publicerat på ämnet:
Om lösenord:
Kävrestad, J., Eriksson, F., & Nohlberg, M. (2018). The Development of a Password Classification Model. Journal of Information System Security, 14(1), 31-46.
Kävrestad, J., Zaxmy, J., & Nohlberg, M. (2020). Analyzing the usage of character groups and keyboard patterns in password creation. Information & Computer Security.
Om hur användare kan stödjas till säkert beteende:
Kävrestad, J., & Nohlberg, M. (2019). Using context based micro training to develop OER for the benefit of all. In Proceedings of the 15th International Symposium on Open Collaboration (p. 7). ACM.
Kävrestad, J., Skärgård, M., & Nohlberg, M. (2019). Users perception of using CBMT for information security training. In Human Aspects of Information Security & Assurance (HAISA 2019) International Symposium on Human Aspects of Information Security & Assurance (HAISA 2019), Nicosia, Cyprus, July 15-17, 201.
Tillsammans med Xenolith AB har vi utvecklat ett stöd för att presentera lösenordsriktlinjer för användare. Detta verktyg är fritt att använda och finns tillgängligt på: https://github.com/rr222cy/SecurityAssistantWidget.
En demonstrationssida för verktyget finns på: https://rr222cy.github.io/SecurityAssistantWidget/.
Verktyget aktiveras när man klickar i fältet ”Password”.
Lyssna på avsnittet av Forskarliv i SR P1
https://sverigesradio.se/sida/avsnitt/1456367?programid=4640
