Många gör fortfarande sina lösenord för enkla. Shutterstock / Vitalii Vodolazskyi

I mer än 15 år har teknologiledare gett olika förutsägelser om lösenordens död. Bill Gates förutspådde det tillbaka i 2004 och Microsoft har förutspådde det för 2021. Det har förekommit många liknande proklamationer emellan, tillsammans med pågående kritik av lösenord som ett otillräckligt skyddsmedel.

Ändå förblir lösenord en vanlig aspekt av cybersäkerhet, något folk använder varje dag. Dessutom visar lösenord lite tecken på att de har försvunnit än. Men många människor använder dem fortfarande dåligt och verkar omedvetna om rekommenderad god praxis.

Det är mycket vanligt för cybersäkerhetsexperter och företag att skylla på användare för att använda lösenord dåligt, utan att erkänna att system tillåter deras dåliga val.

Många webbplatser erbjuder ingen rådgivning på förhand om hur man väljer lösenorden de kräver att vi har, kanske förutsatt att vi redan vet dessa saker eller kan hitta det någon annanstans. Men det faktum att människor kvarstår att använda svaga lösenord föreslår att detta är en optimistisk syn.

Föråldrade råd

Förutom att sakna vägledning är det vanligt att hitta webbplatser som tillämpar föråldrade lösenordskrav. Du är förmodligen bekant med system som insisterar på lösenordskomplexitet genom att kräva versaler, siffror eller specialtecken för att göra lösenorden starkare (vårt svar på vilket ofta speglar videon nedan).

Emellertid den nuvarande vägledningen är att tillåta komplexitet men inte att kräva det och att i princip betrakta lösenordsstyrka som synonymt med lösenordslängd.

Smakämnen National Cyber ​​Security Center rekommenderar att du skapar ett långt lösenord genom att kombinera tre slumpmässiga ord, vilket möjliggör något längre och mer minnesvärt än många standardval.

Mitt lösenord försöker

Ohjälpsamt är också att snarare än att ge vägledning och krav i början, många webbplatser bara avslöjar regler som svar på att vi försöker saker som inte är tillåtna. Jag försökte skapa ett lösenord för en sådan webbplats. De flesta av mina försök fick feedback som krävde ytterligare åtgärder tills jag bestämde mig för ett slutligt val, vilket accepterades utan klagomål. Men lösenordet som accepterades, Steve !, var kort och ganska förutsägbart.

Brottas med regler. Steven Furnell, författaren förutsatt

När jag spelade lite mer, accepterades olika andra svaga val. Till exempel 1234a !, abcde1 och qwert! alla uppfyllde reglerna, liksom Furnell1 - vilket inte är särskilt starkt, särskilt eftersom jag redan angav Furnell som mitt efternamn någon annanstans i registreringsformuläret.

Under tiden betyder reglerna ofta att vi inte kan använda lösenord som våra enheter genererar automatiskt för oss, eller sådana som vi kan skapa för oss själva genom att följa aktuell vägledning.

Många webbplatser tillåter inte genererade lösenord. Steven Furnell

Vissa webbplatser verkar tro att de kan kompensera för brist på vägledning genom att använda tekniker som lösenordsmätare för att betygsätta våra val. Men medan dessa ger feedback, de är inte en ersättning för att ge vägledning om hur bra ser ut.

Med hjälp av en annan webbplats skrev jag in ett dåligt lösenord (ordet lösenord), och den enda feedback jag fick var att lösenordet var mycket svagt. Om en användare verkligen erbjuder detta lösenord som ett försök, vad de behöver få veta är varför det är svagt. Även om du utan tvekan kan hitta vissa webbplatser som ger bättre och mer informativ feedback, är detta exempel tyvärr representativt för många andra.

Regler att följa

Naturligtvis, efter att ha betonat bristen på effektiv vägledning, skulle det vara lättsamt att avsluta utan att verkligen erbjuda några. NCSC: s vägledning om att välja och använda lösenord listas och förklaras kort nedan:

1. Använd ett starkt och separat lösenord för din e-post - eftersom det ofta är din väg att komma åt andra konton.
2. Skapa starka lösenord med tre slumpmässiga ord - detta ger dig starkare och mer minnesvärda lösenord.
3. Spara dina lösenord i din webbläsare - detta förhindrar att du glömmer eller tappar dem.
4. Aktivera tvåfaktorautentisering - detta lägger till ett extra skydd även om ditt lösenord äventyras.

Det är användbart att komplettera detta med ytterligare påminnelser som inte ska göras använd samma lösenord över flera konton av rädsla för att ett brott mot en leder till brott mot alla, inte att dela dem med andra människor, för då är det inte längre ditt lösenord och inte att hålla en upptäckt register över dem. Att lagra dem på en skyddad plats, till exempel ett verktyg för lösenordshanterare, är bra.

Det är oroande att tro att lösenord har funnits i årtionden och vi får fortfarande fel. Och de är bara en aspekt av cybersäkerhet som vi behöver använda ordentligt. Detta lovar inte bra för cybersäkerhet i större utsträckning.

Om författaren

Steven Furnell, Professor i cybersäkerhet, University of Nottingham

böcker_säkerhet

Denna artikel publiceras från Avlyssningen under en Creative Commons licens. Läs ursprungliga artikeln.