Ändamålet helgar media, eller?

2016-11-25

Det är bara om din e-postadress är känd som du behöver byta lösenord, eller? Det är bara om ditt identitetsbegrepp blivit känt som du behöver byta lösenord, eller? Det är bara om en vilt främmande man på ett torg ber dig mata in din e-postadress i sin padda och den finns i hans register som du behöver byta lösenord, eller?

Ingen i branschen motsäger sig det faktum att ett bra lösenord är långt, är svårt att gissa sig till och består av versaler, gemener, siffror och specialtecken samt att viktiga lösenord inte ska återanvändas.

Möjligen kan behovet av intervallen för lösenordsbyten diskuteras där allt fler är överens om att kraven ovan är viktigare än just frekvensen på bytet.

Oaktat detta så när någon stjäl din enda faktor, lösenordet, så är den förlorad. Oavsett kvalitén. Kvalitén påverkar bara tidsfaktorn från att din faktor hamnat i orätta händer till att den också är brukbar för den illvillige.

Det är viktigt att detta blir känt för den breda allmänheten. Dels för deras egen skull, men lika mycket för att skydda alla dem som har ett beroende till den breda allmänheten. Allt ifrån deras arbetsgivare till deras vänner. Frågan jag ställer mig är om Sveriges klart största opinionsbildare behöver begå ingrepp i den personliga integriteten å det grövsta för att åskådliggöra denna utmaning?

Det är allmänt känt att Dold-redaktionen samlat in miljontals stulna personuppgifter inklusive lösenordsinformation. Om detta hade gjorts av någon annan aktör än den som kan gömma sig bakom tryckfrihetsförordningen så hade detta lett till ramaskri. Bakom kulisserna kan vi också konstatera att den som matar in sin e-postadress för att se om den finns i det inhämtade materialet samtidigt blir loggad utan någon som helst förvarning (detta ska åtgärdas nu enligt löften från redaktionen).

Vilken kapacitet redaktionen har att hindra att inhämtade uppgifter stjäls i sin tur framgår inte. Betänk skadan om det aggregerade materialet hamnar i orätta händer. Går det att stjäla lösenord från dem som har betydligt större förmågor så torde det vara möjligt att göra det även från en lokalredaktion.

Den publicerade tjänsten är för övrigt en utmärkt källa för den som intresserar sig för vilka identitetsbegrepp som figurerar i läckt material. Inte bara nationellt utan också internationellt.

Behöver verkligen den aktör som har allra störst makt ta till ett grepp likt detta för att väcka gemene man som somnar bara ordet lösenordsregler nämns? Hade det inte räckt att konstatera att det redan finns liknande källor (t.ex. https://haveibeenpwned.com/) som istället kan agera hävstång. Å andra sidan kan ju detta vara en fejk? Och det leder ju oss till ett annat beteende som nu också åsidosätts. Det stora flertalet har ju äntligen lärt sig att INTE mata in skyddsvärda uppgifter på sajter likt http://ismycreditcardstolen.com/. Även om syftet kan vara gott. Fast väldigt sällan.

Det ska klart sägas att Dolds syfte är gott – väldigt gott. Gemene man behöver ånyo påminnas om det elände som lösenord utgör. Frågan är om den som bestämt sig för att skaka om nationen ordentligt i frågan om lösenord behöver utsätta sig själv och gemene man till den milda grad som nu görs? Jag är långt ifrån övertygad.

PS! Behöver jag säga att livet faktiskt blir enklare med 2 faktorer och robust SSO än att leva vidare med horder av lösenord. Men det är gamla nyheter, det också.