I tio år har säkerhetsexperter inom IT-området sagt att lösenord är ett otillräckligt skydd.

-Men så länge användarna och tillverkaren av olika webbtjänster tycker att det är enkelt och vill ha det, och om vi inte får se fler incidenter, så kommer man att fortsätta använda det, säger David Lindahl, IT-säkerhetsforskare på FOI, Totalförsvarets forskningsinstitut.

Han vill inte sia om hur vi kommer att skydda oss om fem år men säger att det i dag finns tre sätt att identifiera sig när man loggar in på en dator eller ett nätverk.

-Något man vet, något man har eller något man är, säger David Lindahl.

Han förklarar att ”något man vet” kan vara ett lösenord, att id-kort eller bankkort är exempel på något man har och att en webbkamera med ansiktsigenkänning kan känna igen ”vem man är”.

-Kombinerar man två av de här kategorierna, exempelvis ett lösenord och ett kort, så får man ett mycket bra skydd och om något beteende verkar misstänkt så kan systemet säga ”ge mig ditt alternativa lösenord”.

Litet intresse för hårdvarulösningar

Kortläsare och en rad andra hårdvaruenheter har funnits i tio år men enligt Lindahl är intresset för att investera i sådana lösningar litet.

Just nu pågår arbete för att utveckla ett system där användaren verifierar sin identitet genom sin röst. Ett annat system som ännu inte finns kommersiellt tillgängligt är webbkameror med så bra ansiktsigenkänning att nunan funkar som inloggning även om man är svullen eller nyss inkommen från ett regnoväder.

-Den stora grejen är att vi måste bygga systemen på ett helt nytt sätt. En bil är byggd så att vi inte ska kunna lägga i backen när vi kör i 120. Datorer måste börja byggas på samma sätt så att de hindrar oss från att göra dumma saker.

Tröghet i säkerhetsutveckling

IT-experten lyfter fram att trögheten i säkerhetsutvecklingen ofta beror mer på administration och ekonomi än på teknik.

-Jag tror att vi skulle se en förändring om vi som användare inte accepterade de avtal där tillverkarna friskriver sig från i princip allting man som datoranvändare kan råka ut för. Friskrivningsavtalen på datorsidan är mycket mer långtgående än inom andra branscher och skulle försäkringsbolagen säga att man måste följa en särskild säkerhetsstandard för att försäkringen ska gälla så finns det ett incitament för att göra saker säkra.

I dag ser många på säkerhet mest som en kostnad. Brandväggen och virusprogrammet kostar pengar – och man kan inte bevisa hur mycket pengar man har skyddat genom en brandvägg. Men man kan bevisa hur mycket man förlorar genom en attack.

Allt mer sårbara

När allt fler datorsystem och allt fler personer kopplar ihop sig i nätverk, där man också utför allt fler sysslor, så ökar också sårbarheten för användaren.

-Der är svårt att veta var all min data befinner sig när jag har den både i telefonen, på olika datorer och kanske på en backup någonstans på internet. Vi kommer att se allt mer ”slarvspridning” av data då vi går mot allt mer nätverkande och vår information blir allt mer hotad, säger Daniel Lindahl.

Men det är svårt att känna sig hotad när man sitter hemma vid köksbordet med en katt i knäet och en kopp te bredvid sig.

-Då är det svårt att vara mentalt förberedd på en attack. En kollega till mig föreslog en gång att vi jobbarkompisar då och då skulle anfalla varandra utan förvarning för att också vi skulle känna oss mer otrygga, men vi röstade ner förslaget ganska snabbt!

”Tejp” är inte säkerhetstänk

Men folk måste bli bättre på säkerhetstänkande, tycker David Lindahl.

-Man har inget säkerhetstänk om man exempelvis väljer ett lösenord som ”tejp” och om man som arbetsgivare tillåter att medarbetare använder sådana lösenord.

IT-experten förespråkar någon typ av datorlicens för medarbetare på arbetsplatser där man hanterar känslig information och han tycker att fler borde intressera sig för datorn som arbetsverktyg.

Tove Hanell

tove.hanell@svt.se