211service.com
Lösenordet är Fayleyure
Under granskning: Val av lösenord för Yahoo! Mail osv.
PokeKey1…ou812$…twasbri11ig!. Alla var mina favoritlösenord för länge sedan. Det första är namnet på valpen jag fick som barn en kort stund. Den andra lyftes skamlöst från ett Van Halens skivomslag. Den tredje, minns du, öppnas Jabberwock y. Jag måste ha skrivit var och en hundratals gånger.
Den här historien var en del av vårt marsnummer 2005
- Se resten av frågan
- Prenumerera
När jag ser tillbaka känner jag mig som en idiot för att jag tror att mina kvickt otänkbara lösenord förbättrade min säkerhet på något meningsfullt sätt. Lösenordsskydd är genomgripande, irriterande, obekvämt och gör inte mycket för att avskräcka någon som har för avsikt att göra skada. Men du kan inte få legitim tillgång till många tjänster utan den.
Yahoo Mail-registrering, till exempel, har kommit långt från att vara en öppen inbjudan till spammare och spoofers. Vem skulle hävda att dess automatiska ID/lösenordspåminnelser inte är en välsignelse för de lata och afasilösa bland oss? Men Yahoos obevekliga beroende av lösenordsskydd är en säkerhetskorrigering som känns mer som en utmaning för illgärare än ett allvarligt avskräckande medel. Och Yahoo Mail är bland de bättre i ett ganska dåligt parti.
Dagens system för lösenordsautentisering är lite mer än säkerhetsplacebo. De inspirerar perverst till missbruk, missbruk och kriminella ofog genom att medvetet göra användarna till den svagaste länken i säkerhetskedjan. Större teleprocessorkraft har gjort att stjäla eller knäcka lösenordssekvenser allt snabbare, bättre och billigare. Säkerhetsgurun Mark Seiden observerar att många hackattacker inte har något att göra med hur starkt ett mållösenord är, eftersom dessa attacker är beroende av brute-force upptäckt av alfanumeriska sekvenser. De onda attackerar verkligen ditt tangentbord, säger han. Att säkerhetssystemadministratörer får användare att hoppa flera gånger genom digitala ramar för att försvara integriteten hos våra fyra till 12 tecken långa sekvenser hamnar någonstans mellan förolämpning och skämt.
Om ett företag ville designa ett säkerhetssystem som gjorde ett hån mot allt vi vet om mänskligt beteende, kognitiv psykologi och kryptografisk analys, skulle det komma med vår samtida bitbaserade babel av lösenord. Som autentiseringsexperten Richard E. Smith har observerat är den logiska slutsatsen av de flesta starka lösenordspolicyer – använd inte namn på familjemedlemmar eller husdjur; använd inte födelsedagar eller kalenderdatum; använd randomiserade sekvenser av specialtecken; använd inte ditt lösenord för mer än en eller två webbplatser; ändra dina lösenord flera gånger om året; lägg inte in dina lösenord i din handdator eller mobiltelefon – är att lösenord ska vara omöjliga att komma ihåg och aldrig bör skrivas ner.
På något sätt har världens banksystem för bankomater lyckats klara sig med ett minimum av bedrägerier i mer än 20 år genom att endast förlita sig på fyrsiffriga koder. Så vad förstår banknördarna om lösenordshantering?
Det uppenbara svaret: ju starkare och mer komplext lösenordsschemat är, desto latare och mer tekniskt inkompetent är säkerhetssystemets administratör. Som Smith visar i en serie angelägna analyser, gör uppkomsten av ren text sniffer-teknik i kombination med beräkningsmässigt förbättrad processorkraft det traditionella lösenordsskyddet allt svagare och ömtåligare.
Så varför kräver vi att miljontals människor lägger mer och mer tid och minne på ett säkerhetsförfarande som ger allt mindre skydd? Världen behöver inte bättre eller säkrare lösenord; det måste avvänja sig från lösenord och PIN-koder som medium för autentisering. Vi skulle vara mycket säkrare med fler skiktade metoder för autentisering – misstänksamhetsmotorer som letar efter avvikande beteenden – och mer subtila men ihållande sätt att spåra och utmana onlineidentiteter.
Den globala enfalden i lösenordsmentaliteten framhävdes vackert i en undersökning som genomfördes förra året som visade att 70 procent av de tillfrågade sa att de skulle avslöja sina datorlösenord för en chokladkaka. Ljuv. En tredjedel av de tillfrågade lämnade frivilligt sina lösenord till intervjuare utan att bli erbjudna muta. Ännu en undersökning upptäckte att hela 79 procent av människor som tillfrågades på Londons gator avslöjade så önskvärda säkerhetskänsliga uppgifter som moderns flicknamn och födelsedatum. Vi är förvånade över nivån av okunnighet från konsumenter om behovet av att skydda sin onlineidentitet, sniffade en talesman för RSA, det banbrytande krypteringsföretaget som sponsrade forskningen.
Jag är faktiskt förvånad över latheten hos globala företag som gör deras användare primärt ansvariga för säkerheten och integriteten hos komplexa system. Om lösenord är i närheten av lika viktiga för online-autentisering, identitet och säkerhet ett decennium sedan som de är idag, kommer det att vara den tydligaste möjliga signalen att den virtuella världen har blivit en ännu farligare och mer flyktig plats för både transaktioner och interaktioner.
Michael Schrage är forskare och konsult inom innovationsekonomi och författare till Seriöst spel (2000).
