Företag som låter användare logga in med lösenord till sina tjänster riskerar att förlora kundernas förtroende. Bankerna förstod riskerna redan på nittiotalet, men en majoritet av svenska företag och onlinetjänster har halkat efter. Det är dags att byta ut lösenordet, en gång för alla, skriver Johan Henrikson, vd på Verisec.
Byt ut lösenorden – en gång för alla
”Hej. Jag är så frustrerad och gråtfärdig. Jag har tappat bort alla mina lösenord och måste nu återställa samtliga!”
Maud, som skrev detta mejl för ett par år sedan, är mamma till en av mina kollegor och frustrationen som avslöjas är alltså helt äkta. Även om det inte behöver vara så dramatiskt känner du säkert igen frustrationen från att ha glömt olika lösenord eller från att försöka klura ut ett som är tillräckligt starkt när du skall registrera en ny tjänst på nätet.
Själv har jag 61 lösenord noterade i min lösenordsbok och det tillkommer ständigt nya i takt med att allt omkring oss digitaliseras. Detta är ett av de största hoten mot digitaliseringen och frågan är mycket större än det faktum att lösenorden är en plåga för oss användare.
Googla ”password crack” och du får nära fyra miljoner träffar. Dagens programvara för att knäcka lösenord är så sofistikerad och lättillgänglig att lösenord inte längre kan betraktas som en säkerhetslösning.
I princip alla hackerattacker du läser om bygger på att lösenord används i de system som attackeras. Till detta kommer företagens utmaningar att lagra lösenorden på ett säkert sätt. Ett färskt exempel är Twitter som nyligen uppmanade 330 miljoner användare att byta lösenord då de missat en viktig säkerhetsdetalj kring lagringen.
Nyligen genomförde vi en undersökning kring användarnas inställning till lösenord. Av nästan 800 svarande lät nio av tio meddela att de är oroliga för bedrägerier på nätet. Det är oroande siffror för alla som vill digitalisera, men det är inte särskilt överraskande.
Vad som är extra intressant i undersökningen är att användarnas oro främst rör tjänster som använder lösenord. Om människor är tveksamma till att använda tjänster som bygger på lösenordsinloggning, som idag är helt dominerande, kan vi konstatera att vi har ett mycket stort hinder på vägen mot vår fortsatta digitalisering.
Den 1 maj infördes EU:s andra betaltjänstdirektiv, PSD2, i Sverige. Direktivet förbjuder i princip lösenord för betaltjänster och kräver något starkare, som en e-legitimation eller en bankdosa. Just detta är visserligen lite ironiskt eftersom just bankerna – i alla fall de svenska – redan på nittiotalet insåg att lösenord inte var en hållbar lösning ifall de skulle digitalisera sin verksamhet.
I resten av Europa ligger bankerna dock långt efter, så initiativet är välkommet. Ett annat exempel där lösenorden börjar förbjudas finns i spellicensutredningen. Blir den lag kommer spelbolag från 2019 inte tillåtas registrera spelare med lösenord; e-legitimation kommer att krävas.
Användare, banker, EU och den svenska regeringen har alla konstaterat att lösenorden har spelat ut sin roll. Men hur kommer det sig då att företagen och online-tjänsterna fortfarande erbjuder denna föråldrade lösning till sina kunder och medlemmar?
De lägger miljoner på användargränssnitt och marknadsföring kring sina tjänster, bara för att välkomna dem med en hinderbana istället för en entrédörr. Skälet är naturligtvis varken cynism eller okunskap. Det har helt enkelt varit för dyrt och för svårt att ersätta lösenorden.
Men nu har vi ett nytt läge. Sverige är idag världsledande på e-legitimering och nu finns flera kompletterande lösningar som täcker alla behov; för användare med eller utan personnummer, för anställda såväl som för kunder, för stora organisationer såväl som för små. De företag som stannar kvar med sina lösenord tar två stora risker; en större hackerattack som riskerar att förgöra varumärket eller att kunderna lämnar till förmån för en konkurrent som inte gör dem gråtfärdiga.
Ingen behöver väl övertygas om betydelsen av digitaliseringen för Sveriges framtid. Låt oss därför ta ett gemensamt ansvar att undanröja ett av de stora hinder som står i vägen för att lyfta Sverige till nästa nivå.
Johan Henrikson
vd Verisec AB