Via Flashback spreds listor med knäckta användarnamn och lösenord. Inom kort hade många personer provat om samma användarnamn och lösenord fungerade på andra ställen. Bingo! Modeskribenten Sofi Fahrman hade använt samma lösenord på Facebook och Aftonbladets it-chef Oscar Edholm hade återanvänt sitt lösenord på Linkedin.

Bland de användarnamn och lösenord som fanns i listan såg många ut att bestå av personnamn i kombination med ett enkelt lösenord. Gissningsvis fungerade de även på andra ställen. Enligt Oscar Edholm kunde anställda på Aftonbladet ha upp till 20 tjänster att komma ihåg lösenord till. Det är ingen vild gissning att även externa användare av annonsbokningssystemet använt samma lösenord på andra ställen.

Lösenord i sig är ett otroligt dåligt skydd

– Lösenord i sig är ett otroligt dåligt skydd. För att komma till rätta med det behöver man egentligen ha tvåfaktorsautentisering. Då identifierar man sig mot hårdvaran med en pin-kod. Så låter man hårdvaran agera port eller portal till olika serverinstanser. Du får en inloggningstillämpning som du använder för att logga in på olika tjänster, säger Christer Johansson, teknikchef på Bitgrade.

Christer Johansson, teknikchef på Bitgrade

Enligt Christer Johansson är Bitgrades system enkelt att bygga in i andra system och fungerar som ett slags vpn på programlagret. Systemet ska också fungera både internt på ett företag och mot tjänster utanför företaget. Problemet med borttappade lösenord löser hårdvaran dock inte.

– Tappar du din token är du lika torsk som om du har tappat bort ett lösenord, säger Christer Johansson och fortsätter:

– Open ID skyddar inte mot trojaner, alltså man-in-the-browser-attacker. Vår lösning skyddar mot man-in-the-middle, nätfiske och http-attacker i olika former. Men i sig självt skyddar det inte mot trojaner. Om du däremot kopplar Bitguardian till vår Keypad får du ett skydd mot trojaner. Då lyfter du ut processen att signera utanför datormiljön. Det blir envägskommunikation och signalerna kommer fram oförändrade, även i en trojansmittad miljö. Vi förutsätter nämligen att alla datorer är nedsmutsade, säger Christer Johansson.

Han anser att företagets system är säkrare än bankernas system med dosor.

– Den challenge-response-fråga du får där är utfärdad av din dator. Den kan vara påverkad av en trojan, som kan ha ändrat i kontonumret som du skickar pengar till. Det hacket är lätt att göra med alla bankernas system.

Lappar under tangentbordet

I dag upplever många it-chefer att lösenord är ett problem. Användarna väljer för svaga lösenord, skriver upp dem på lappar under tangentbordet, återanvänder dem på flera ställen, ringer supporten när de har glömt bort dem och lämnar ut dem till fel personer.

Sammanfattningsvis är alltså problemet att lösenord är både osäkert och dyrt. Frågan är hur dyrt och hur osäkert?

Hur dyrt det är kan du få reda på genom att räkna antalet supportärenden som handlar om just lösenord. Hur stort problemet är kan du få en uppfattning om genom att själv se i hur många interna system en användare har samma lösenord. Du kan anlita ett företag som gör ett penetrationstest via telefon där de ringer dina anställda, utger sig för att vara till exempel den interna supporten och ber dem lämna ut inloggningsuppgifter. Vid ett sådant test hos skattemyndigheten i Seattle sommaren 2007 lämnade 61 av 102 anställda ut sina inloggningsuppgifter när de tillfrågades. Tidigare liknande undersökningar har givit liknande siffror.

Ett alternativ till vanliga statiska lösenord för inloggning är att använda olika former av lösenordsdosor. Det finns en typ som matar fram nya engångslösenord, bland andra RSA och Secure Computing säljer sådana. Det som skiljer de olika modellerna åt är saker som livslängd, pris och möjligheten att integrera dem med andra tekniker för autentisering som smarta kort, biometri, rfid-kort och liknande.

Händelser eller tid

Vissa tillverkare av lösenordsdosor har också förberett sina system för att fungera ihop med olika produkter inom vpn, terminalservrar och webbtillämpningar som e-post. En annan skillnad är att en del dosor synkroniseras genom händelser och andra genom tid. Den senare modellen är beroende av att ett batteri håller liv i den lilla klockan som finns ombord. I dag håller ett sådant batteri flera år. Det finns modeller som även kräver att användaren matar in en pin-kod för att ge ifrån sig sitt engångslösenord.

Det finns även en typ av dynamiska lösenordsdosor. De kräver också att användaren matar in en pin-kod. De har fördelen att de kan hämta dynamiska uppgifter från användaren eller datorn och baka in det i svaret som skickas tillbaka till inloggningsservern. Det kan till exempel vara en checksumma på datum, användar-id och summa som ska betalas. Låter tekniken bekant? Det kan bero på att du och dina användare sannolikt redan använder den. Alla större svenska banker utom Handelsbanken erbjuder i dag sådana lösenordsdosor till sina internetkunder. Handelsbanken har i stället mjuka certifikat och engångslösenord på papper, så kallade skraplotter.

En annan variant är system som bygger på mobiltelefoner. En del skickar hela eller delar av lösenordet som sms. Andra installeras som program i telefonen och genererar engångslösenord. Den senare typen fungerar även när telefonen saknar täckning eller körs i så kallad flight-mode, det vill säga inte fungerar som telefon utan bara vanlig handdator.

Ska skydda mot trojaner

En del lösenordsdosor kopplas till datorn via usb och gör autentiseringen i dosan. Ett exempel är lösenordsdosan Keypad från Bitgrade. Enligt Bitgrade ska företagets teknik skydda mot att trojaner som kan finnas i användarens dator manipulerar kommunikationen. Användaren ska heller inte behöva bry sig om pki (public key infrastructure) eller ssl (secure socket layer). Bitgrade hävdar också att deras lösning är mycket billigare än många dosor för engångslösenord.

Med tekniken single sign on, sso, ska en användare få tillgång till många olika tjänster genom en enda inloggning. För administratören blir det också ofta färre regler, lösenord och andra användardata att hålla reda på.

Ofta används autentiseringsprotokollet Kerberos, som till exempel alla versioner av Windows från 2000 och framåt har som förvalt protokoll för autentisering. Det utvecklades på prestigeuniversitetet MIT, Massachusetts Institute of Technology, och därifrån kommer också en tillämpning av Kerberos med öppen källkod.

Kerberos anses dock mycket krävande både i kompetens och i arbetstid för att driftsätta. En nackdel är att Kerberos bygger på en central server för certifikaten. Slutar den att fungera kan ingen logga in. Blir den hackad är alla konton röjda. Kerberos kräver också att alla inblandade värddatorer har synkroniserade klockor. Administrationsprotokollet är inte heller standardiserat och varierar mellan olika slags servrar.

Det finns många kommersiella tillämpningar av sso, bland annat från Passlogix och Encentuate. Det senare köptes nyligen av IBM.

Sso-tekniken har funnits sedan 1980-talet, men klarar i bästa fall gemensam inloggning inom en organisation. Sso hade inte varit någon realistisk metod för att skydda Aftonbladets annonsbokningssystem, eftersom användarna loggade in utifrån. Sapnet, Socialdemokraternas datanät, hade inte heller haft mycket nytta av sso så länge användarna fick logga in med sigge/sigge. I stället hade det öppnat dörren till ännu fler system.

En fördel med sso är att det liknar vad många användare redan gör, på sitt eget lilla osäkra sätt. Det vill säga återanvänder samma lösenord på många ställen.

Banker tvekar inför open id

Ett sätt att hantera lösenord på internet är inloggningsstandarden open id. Den går ut på att tjänster på internet frågar användaren hur han eller hon vill logga in. Tjänsten skickar sedan användaren vidare till den identitetsleverantör som användaren har valt. Identitetsleverantören kontrollerar användarens identitet, på ett sätt som leverantören själv bestämmer. Sedan får användaren ett slags digitalt certifikat på sin identitet och skickas tillbaka till den tjänst där han eller hon ville logga in.

”Enligt förespråkarna är open id tillräckligt säker för bankärenden.”

Enligt förespråkarna för open id är tekniken tillräckligt säker för att användas för bankärenden. De svenska bankerna vill dock hellre hålla sig till de system de redan har investerat i. I en intervju med Computer Sweden säger exempelvis Nordea att det finns frågetecken kring tekniken både när det gäller säkerhet och juridik.

Bakom open id står bland andra Google, IBM, Microsoft, Verisign och Yahoo. I dess nuvarande utförande anses signeringsprocessen och krypteringen vara de två främsta svagheterna. En kombination av open id och hårdvara skulle kunna ge kraftigare kryptering.

Ett olösligt problem

Göran Marby är vd på Appgate, som bland annat tillverkar system för att skydda inloggningar. Han menar att lösenord är ett försök att lösa ett problem som är olösligt.

– Lösenord använder du för att skydda information. Du som person vill kunna bestämma vem som ska kunna komma åt den här informationen. Du löser det accessproblemet genom att ha en nyckel, ett lösenord. Men olika information har olika mycket skyddsvärde, säger Göran Marby.

Göran Marby tycker att engångslösenord kan användas för information som inte har så högt skyddsvärde. Han tycker också att vi ska kräva att lösenordssystem ska kunna stänga av efter att någon har försökt med tre olika lösenord i rad. Han gör också reklam för funktionen att systemet inte tillåter användaren att välja väldigt korkade lösenord, som abc123, asdf och liknande.

– När du frågar om hur vi ska ta oss ur lösenordsträsket känns det som att vi kunde ha ett system där alla går omkring och är sin egen ip-adress, använder tumavtryck för att det är så enkelt eller har ett eget elektroniskt identitetskort. Men hur många nycklar har du på din nyckelknippa? Säg att du har fem och du vet ungefär vad de går till. Du skulle inte kunna tänka dig att ersätta de fem nycklarna med en nyckel som går överallt. Och du tror inte heller att din cykeltillverkare kommer att börja samarbeta med den som har installerat låset till ditt hus, säger Göran Marby.

Göran Marby tycker att vi ska vända på frågan och säga att så länge det finns information som är värd att skydda så kommer vi att behöva nycklar för att komma in i den.

– Jag tror inte att det finns ett sätt att bli av med lösenord. Vi i industrin hittar på en massa sätt att minska det som behövs, nämligen olika sätt att göra det enklare för användaren. Då kommer vi på sådana saker som certifikat. Det är ett sätt att göra livet mycket enklare. Och certifikat är inte speciellt säkert, jag kan kopiera certifikat. På något sätt tycker jag att diskussionen har gått fel. Vi måste börja med att diskutera vilken typ av information vi ska skydda, säger Göran Marby.

Teknik bättre än utbildning

Göran Marby tycker att vi måste utgå från att vi inte kan lära alla användare att alltid göra rätt. Teknik är en bättre lösning än att utbilda användarna. Och tekniken kan förbättras, till exempel bli bättre på att stå emot lösenordsattacker.

– Användarna måste ta ansvar för den information de vill skydda. Systemägarna, de som äger informationen i slutändan, måste definitivt ta ett ansvar när det gäller att hantera lösenord.

Om informationen är skyddsvärd behövs det riktig tvåfaktorsautentisering, menar Göran Marby. Den behöver inte vara baserad på lösenordsdosor, det finns många sätt att lösa det på i dag. Först gäller det dock att klassa informationen som ska skyddas.

– Det här med att bli av med lösenordsträsket, jag ser det snarare tvärtom. Hade vi bara använt lösenord till det de är till för, hade det fungerat så mycket bättre, säger Göran Marby.

Svårare knäcka Dataföreningen

Tre månader efter dataintrånget mot Aftonbladet drabbades Dataföreningen i Sverige av ett liknande intrång.

Vid intrånget mot Aftonbladets annonsbokningssystem stals 1 300 användarnamn och lösenord. 1 200 var knäckta efter ett par dagar. Vid intrånget mot Dataföreningen stals 24 000 användarnamn och lösenord. Efter två dagar var cirka 5 000 av lösenorden knäckta. Efter en månad var 7 070 lösenord knäckta.

Vi vet inget om vilken kryptering som användes av Aftonbladet respektive Dataföreningen. Däremot vet vi att Dataföreningens medlemmar tilldelades åtta tecken långa slumpmässiga lösenord med små och stora bokstäver. Även om många sedan bytte till sämre lösenord är det ingen vild gissning att det är en stor skillnad i datormognad mellan de olika användarna. Det bör vara en orsak till att Dataföreningens användare klarat sig bättre än Aftonbladets. Det visar också att även med hög medvetandegrad når man långt ifrån alla.

Går runt jobbiga funktioner

En vanlig erfarenhet inom säkerhetsarbete är att användarna går runt säkerhetsfunktioner som upplevs som jobbiga eller som ett hinder i arbetet. Som exempel kan nämnas de gamla hörselkåpor som förut användes inom försvaret. Inte många värnpliktiga hade dem på sig när de smög i skogen för att överraska fienden eller själva lyssnade efter fiender. Sedan kom de aktiva skyddskåporna som genom mikrofoner på utsidan filtrerar ljudet och dämpar alla plötsliga ljud som skott. Genom en volymkontroll går de aktiva kåporna att skruva upp till långt över normal mänsklig hörsel. Då var det plötsligt ett hjälpmedel också och alla ville ha kåporna på sig. I dag är aktiva hörselkåpor det som värnpliktiga stjäl mest, i pengar räknat. På sitt sätt är det ett mycket gott betyg åt tekniken.

Motsvarande för it-säkerhet skulle vara att de anställda använder företagets koddosa för att logga in på tjänster utanför jobbet. Den tanken är inte så tilltalande, men i slutänden skulle det kanske leda till att de använder säkerhetssystemen i stället för att gå runt dem. Av det skälet kan single sign on vara ett steg i rätt riktning.

Albert Einstein påstås ha sagt att ett problem inte kan lösas på samma medvetandenivå som det skapades. Det känns som en bra sammanfattning av ovanstående resonemang.