Fler lösenord, fler problem

Det är lätt att komma ihåg ett användarnamn och lösenord. Att hålla fem eller tio raka är mycket svårare. Lösenordsöverbelastning har länge drabbat tekniker, men eftersom vi alla lägger mer tid på att göra allt från shopping till banktjänster till att spela spel på webben, har det blivit ett mer utbrett problem.





Ett antal företag försöker bekämpa problemet. Tillvägagångssätten sträcker sig från lösenordshanterare som säkrar dina inloggningsuppgifter med ett huvudlösenord till metoder som eliminerar behovet av flera lösenord i första hand.

Till 2007 studie av Microsoft Research undersökte styrkan, frekvensen och användningen av lösenord som tillhör 500 000 datoranvändare. Studien fann att varje person hade i genomsnitt 6,5 lösenord som de använde för 25 olika onlinekonton – vilket innebär att varje lösenord återvinns ungefär fyra gånger.

Fem år senare har de flesta av oss många fler konton som vi kommer åt på stationära datorer, smartphones och surfplattor. Men vi är förmodligen inte bättre på att komma på säkra lösenord – sådana som inte lätt kan gissas eller knäckas med hjälp av en dator – och, som högprofilerade säkerhetsintrång på webbplatser som LinkedIn och eHarmony visar, sätter svaga lösenord våra onlineidentiteter. i riskzonen.



Det vanligaste verktyget för att organisera ett överflöd av lösenord är lösenordshanteraren, men få människor använder dem, säger Cormac Herley , en författare till 2007 års Microsoft Research-studie. En startup som heter Dashlane hoppas kunna ändra på detta, med en enkel lösenordshantering och ett automatiserat verktyg för ifyllning av formulär som den säger kan göra det enklare att handla online. Dashlane krypterar och lagrar lösenord på en användares dator eller smartphone. Då kan endast huvudlösenordet – som inte lagras på Dashlanes servrar – användas för att komma åt informationen.

Företaget kom ur ett privat betatest i april, och Daniela Perdomo, Dashlanes direktör för användartillväxt, säger att det för närvarande har hundratusentals användare som tillsammans har lagrat 1,5 miljoner lösenord med sin dator- och smartphonemjukvara (de flesta använder en gratisversion av tjänsten). Hon hävdar att Dashlanes teknik för automatisk fyllning av formulär är korrekt omkring 90 till 95 procent av tiden.

Den svaga punkten här är naturligtvis att glömma ditt huvudlösenord. Men tillvägagångssättet gör det också svårare för andra att få tillgång till din data bara genom att stjäla din enhet. Och att ställa in en lösenordshanterare kan inspirera dig att göra dina individuella lösenord säkrare, med vetskapen om att du nu bara behöver komma ihåg det enda huvudlösenordet för att komma åt alla dina konton på din dator. Perdomo erkänner att de flesta människor inte är redo att vara proaktiva när det gäller svaga eller identiska lösenord. Den genomsnittliga personen bryr sig inte förrän de blir hackade, säger hon och upprepar åsikten från flera säkerhetsexperter.



En annan viktig nackdel med lösenordshanterare är att de ofta måste installeras och synkroniseras på varje enhet du använder för att komma åt dina konton. Detta kan vara praktiskt om du sitter vid din hem- eller arbetsdator, men mindre om du är hemma hos en vän.

Chansen är stor att du har din smartphone på dig. Det kommer också in i bilden som ett sätt att balansera inloggningssäkerhet och bekvämlighet. Det är tanken bakom Telefon-ID , som mjukvaruingenjörerna Mike Thomas och Vahur Roosimaa skapade i början av september vid ett hackathon – ett maratonkodningsevenemang där programmerare kommer på nya idéer – som värd för teknikbloggen TechCrunch. För närvarande är en prototyp, PhoneID låter dig logga in på webbplatser med din stationära dator genom att använda din smartphone för att skanna en QR-kod på skärmen, säger Thomas. På så sätt skulle du aldrig behöva skriva in ett användarnamn och lösenord.

Första gången du besöker en deltagande webbplats på din stationära dator, dyker en QR-kod upp på skärmen. Genom att skanna den med din telefon uppmanas din dator att fråga efter ditt telefonnummer, och PhoneID skickar ett SMS till din mobiltelefon som du kan klicka på för att logga in på webbplatsen och autentisera dig. Vid efterföljande besök loggar du in omedelbart genom att skanna en QR-kod på skärmen.



PhoneID kräver att en webbplats lägger till flera rader kod. Och även om det kan ställas in för att fungera med webbplatser där du redan har ett konto och lösenord, är det för närvarande inriktat på att skapa ett nytt konto på en webbplats. Thomas säger att tillvägagångssättet kan rädda webbplatser från att behöva lagra och skydda lösenordsinformation och rädda konsumenter från att komma ihåg sina inloggningsuppgifter. Även för någon som är tekniskt kunnig är det svårt att hålla reda på alla dina lösenord, säger han.

Gartner-analytikern Gregg Kreizman tror att lösningar som PhoneID kommer att bli vanligare när företag drar fördel av kameror, sensorer och geolokaliseringsmöjligheter hos smartphones. Dessa funktioner kan hjälpa till genom att tillhandahålla andra sätt att autentisera användare, säger han.

Men tänk om vi bara kunde dra ner på lösenord helt och hållet? De mest populära exemplen på detta tillvägagångssätt är Facebook Connect och Logga in med Twitter, två tjänster som låter dig logga in på webbplatser med dina Facebook- eller Twitter-uppgifter. Detta gör det bekvämt för användarna, samtidigt som det ger webbplatser åtkomst till en del av din personliga information. Det är dock inte så säkert. Ett annat tillvägagångssätt kom nyligen från Intel, som på Intels utvecklarforum tillkännagav en futuristiskt klingande plan för att autentisera människor genom att läsa venmönster.



En startup som heter OneID har en annan idé. Det kräver att webbplatser använder sin inloggningsmetod, som använder kryptografi med offentlig nyckel – säkerhetsteknik som krypterar och dekrypterar data med två typer av nycklar som tillhör varje part, en hålls hemlig och den andra publicerad öppet – och kunskap om de enheter du använder för att säkert logga in dig med ett enda klick.

OneID-grundaren Steve Kirsch, som också grundade sökmotorn Infoseek, säger att när en användare trycker på en OneID-knapp på en webbplats skickar sajten hans eller hennes offentliga nyckel till användarens dator. Den nyckeln vidarebefordras sedan till en OneID-server, som kan göra ett snabbt beslut baserat på webbplatsens specifikationer och användarens preferenser om vad som behöver hända härnäst - om ytterligare autentisering krävs, eller om användaren helt enkelt kan tillåtas komma in på webbplatsen.

OneID-användare behöver inte ange ett lösenord. En smartphone-app som godkänner aktiviteter med högre risk som att göra onlineköp kräver dock en PIN-kod. Medan någon fortfarande kan stjäla din dator och sedan få tillgång till några webbplatser med låg säkerhet som inte kräver tvåfaktorsautentisering, kan du inaktivera enhetens OneID-åtkomst på distans för att stoppa intrånget.

OneID håller på att rulla ut sin teknik, även om företaget inte kunde namnge några webbplatser som använder den. Kirsch säger att företaget går efter sajter, som e-handelsföretag och banker, som kräver hög säkerhet. När de ger det ett försök och folk ser resultaten, kommer fler och fler människor att ge det ett försök, säger Kirsch.

Moxie Marlinspike , en San Francisco-baserad datasäkerhetsforskare, säger att enkel inloggning som fokuserar på säkerhet är en svår försäljning. De flesta av dessa sajter ser inte bekvämligheten med att inte behöva hantera ett användarnamn och lösenord som en verklig fördel, säger han, och om de väljer att aktivera en så kommer de vanligtvis att välja Facebook eller Twitter eftersom det kommer att ge dem tillgång till en del av en användares sociala information.

Marlinspike tror att för att få användare att ändra sina beteenden måste utvecklarna fortsätta arbeta för att göra säkerheten så osynlig som möjligt. Men, säger han, lösenord kommer sannolikt att finnas med oss ​​ett tag.

Dölj