Att hålla reda på alla lösenord och pin-koder är ett stort besvär för varje man, kvinna och barn som lever i den utvecklade, uppkopplade världen idag. Det är dörrkoder, koder till konto- och bankomatkort, koder till telefonen och telefonsvararen, lösenord till tidsskrivningsapplikationen på jobbet, onlineprenumerationen, aktiehandlarwebben, filbytarklubb eller varför inte dejtingsajten.

Förutom problemet med att själv hålla reda på lösenorden, så finns ju andra problem, till exempel att någon annan får reda på dem. Det går inte en vecka utan att en större nättjänst drabbas av läckta personuppgifter och därtill efterföljande tandagnisslan bland dess användare och beska kommentarer i media. Dessa läckta personuppgifter kan leda till en massa otrevligheter, allt mellan att någon kapar och missbrukar det läckta kontot, eller att någon stjäl ens identitet.

Eller otrevligheten att bli associerad med varifrån själva läckan skett. Tänk att någon stjäl och därefter läcker ut alla kontaktuppgifter till det rasistiska diskussionsforumet, porrsajten eller dejtingsajten. Sådana läckor lär nog kunna räcka och bli över för både gliringar runt fikabordet, nya ovänner för livet såväl som skilsmässor.

En intressant händelse som skedde här i Sverige för bara några veckor sedan var att en stor nättjänst gick ut och bad alla användare att byta lösenord. Inte för att de själva hade blivit hackade, utan för att någon eller några andra webbplatser blivit av med användaruppgifter. Den positiva tolkningen är att de var väldigt måna om sina kunder och användare. Den mer realistiska och cyniska analysen sticker snarare
iväg mot misstankehållet.

Då undrar man istället, "har de inte blivit hackade? Men inte vill gå ut med det ordentligt?", eller "delar de kontoinformation eller intern infrastruktur med någon annan tjänst som blivit hackad? men vill inte gå ut med det?" och så vidare.

För inget företag skulle ju under normala förhållanden gå ut på ren godhet och göra sina kunder förvirrade, öka trycket mot kundtjänst eller få massa konstiga mediafrågor. Eller?

Det leder ju till ett antal följdfrågor: hur vanligt är det att personer återanvänder lösenord mellan webbplatser eller mellan jobbdatorer och privat it-användning? Hade webbplatsen som gick ut och varnade några kopplingar till de andra webbplatserna, som de inte ville gå ut med öppet? Svaret på första frågan är väl det enkla och raka "alltför många".

Denna svenska händelse föregicks av nättjänsten Evernote, som ju givetvis också fått kapade konton och användaruppgifter på vift, som skickade ut ett varningsmail till sina kunder och användare. En av de bra sakerna som Evernote faktiskt förmedlade med sitt utskick var att påpeka att man aldrig någonsin skall klicka på en lösenordsbytarlänk som skickats ut av ett företag eller någon som driver en nättjänst. Det är väl ett ganska gott råd, rent allmänt.

En förfalskad e-post med uppmaning att byta lösenord skulle givetvis innehålla en länk till (busens) webbplats för lösenordsinmatning. Och hur tror ni e-posten från det svenska e-handelsföretaget såg ut? Givetvis hade den massa länkar till webbplatsens alla delar. Inklusive lösnordsbytarlänken.

När man explicit använder funktionen "byt lösenord" eller "jag har glömt mitt lösenord" på en nättjänst eller webbplats, så får man snabbt en insikt i hur plattformen är uppbyggd och hur säkerhetsmedvetna utvecklarna har varit. Många skickar ut ett nygenererat, framslumpat lösenord. Andra skickar ett mail med en länk till en särskild lösenordsbytarsida, vilken även känner till från vilken förregistrerad e-postadress en användare skall kunna besvara lösenordsbytesförfrågan. Andra skickar ut bara ut ett mail med ens befintliga lösenord i klartext.

Av detta kan man snabbt dra två slutsatser: att lösenordet självt i klartext,
inte ett hashvärde, sparas i databasen, samt att utvecklarna inte ser det dåliga i att skicka lösenord i e-post över internet. När en sådan webbplats så småningom blir hackat, ja det är ju då som 10 000-tals eller miljontals konton med klartextlösenord försvinner kommer på vift. Vilket är snäppet värre än om bra krypterade lösenord stjäls.

En annan sak som man kan fundera över är varför vissa webbplatser eller nättjänster infört maxlängder på lösenord. En av de mer kända datorleverantörernas webbtjänst för e-post och annat tillåter maximalt 16 teckens lösenord. Sexton siffror, stora och små bokstäver samt specialtecken får anses vara ett långt och starkt lösenord, men om jag faktiskt bestämt mig för att sätta en ramsa på 25 tecken, borde jag inte få göra det då? Ska inte jag själv få bestämma hur svårt det skall vara för någon att komma åt min webbmail?

Och när vi ändå är inne på ämnet maxlängder på lösenord, så kan vi ju också passa på och nämna RACF, vilket är en centrala säkerhetskomponent på stordatorer. Där är den praktiska maxlängden åtta tecken. Och bara stora bokstäver. Och inte alla typer av specialtecken. 60-talet ringde och ville komma tillbaka. Tack för det IBM. Andra liknande dumheter i inskränkningar på längd, typ och liknande är illgärningen att lägga sig i vilka tecken man får använda sig av, antingen som användarnamn eller i lösenordet.

Många webbplatser har inte förstått att '+'-tecknet faktiskt är ett legitimt, och inte helt ovanligt, tecken att använda i sin e-postadress. Likaså filtrerar många nättjänster hej vilt bort massa användbara specialtecken som de inte anser får förekomma i lösenordet. Efter att ha målat upp en svart bild och varit gnällspik så ska vi vända på diskussionen och ändå försöka landa på en positiv not.

Tillbaka till problemet med lösenord som delas mellan jobb och privat användning av webbplatser och nättjänster. Den enkla lösningen är att börja använda flera lösenord, eller kategorier av lösenord, så man håller en rågång mellan privatanvändning och jobbanvändning. Eller mellan lösenord till viktiga konton och slit-och-slängkonton. Till sin hjälp att hålla reda på alla lösenord, pinkoder och lösenordsramsor kan man ha någon av alla dessa elektroniska program för nyckelringar som existerar.

Ett annat är att använda olika engångslösenordssystem som finns, till exempel i form av appar för mobiltelefonen. Google var givetvis tidigt ute med en engångslösenordsapp till alla sina tjänster för att på så sätt införa så kallad tvåfaktorsautentisering.

Microsoft har precis nu också hoppat på trenden med tvåfaktorsautentisering av alla sina centrala tjänster. Nu tillhandahåller Microsoft till och med appar för lösenordsgenering, liknande de som Google haft ett tag. Det är bara att tacka och buga. Mer sånt till alla användare! Och även för gamla RACF finns det hopp, då man faktiskt numera kan ha upp till 100 teckens lösenordsfraser. Med mixade stora och små bokstäver.