Cecilie Wian jobbar som konsult på Knowit i Bergen i Norge. Hon är i grunden pedagog och specialist på interaktion mellan människa och dator. När hon tar sig an problematiken kring lösenord gör hon det från en sida som vi normalt kanske inte tänker på. Lösenord diskuteras väldigt mycket från en teknisk säkerhetssynvinkel, men för henne innehåller ämnet så mycket mer, berättar hon när Computer Sweden träffar henne på Internetstiftelsens event Internetdagarna.

– Lösenord är väldigt mycket psykologi, och många som forskar på lösenord kommer från den sidan av problemet. Lösenord är kulturella, vad du väljer som lösenord ankommer mycket på vem du är och vilka sammanhang du rör dig i. Det är det jag tycker är det intressanta. När man tittar på dessa listor över de vanligaste lösenorden för olika år, så kan man se att vissa ord plötsligt dyker upp. Det kan till exempel bero på att ”Game of Thrones” dök upp det året. Och dessa företeelser reflekterar den hopplösa situation många befinner sig i när de ska välja ett lösenord, säger Cecilie Wian.

På vilket sätt blir det hopplöst?

– Det är en stress. Du tar det första du kommer på. Det beror mycket på sammanhanget och din personliga kontext, till exempel fotbollslag, tv-serier eller den tjänst det gäller. Lösenord för dejtingtjänster till exempel innehåller referenser till sex. Det tycker jag är väldigt intressant, det mänskliga i det, och så funderar jag på om vi kan göra något positivt av det.

– Det handlar ju inte bara om att säkra systemen rent tekniskt; man kan implementera fantastiskt hög säkerhet och så spricker det på dåliga lösenord. Och så handlar det om att ha lite respekt för folk som använder it som verktyg, och inte som levebröd, säger Cecilie Wian.

Cecilie Wian
Foto: Lars DobosCecilie Wian på Internetdagarna.

Lösenord är till för användarens och tjänstens säkerhet, hur tänker du kring det?

– Meningen är att lösenord ska vara ett litet hinder för dig, men ett stort hinder för dem som vill knäcka det. Men jag känner att tekniken inte har stöttat upp detta, för realiteten idag är att lösenord ofta ett stort hinder för användarna och ett seriöst litet problem för förövarna.

– Det är den situation vi är i idag, och jag vill tillbaka till det som är den ursprungliga meningen med lösenord. Då måste vi jobba med de saker vi kan påverka. Vi kan jobba med gränssnittet, men vi kan inte jobba med huruvida folk har en bra dag, hur bra minne de har, eller hur intresserade de är. Vi måste ta vara på situationen när folk ska skapa lösenord, göra små förändringar som hjälper, uppmuntrar och tar vara på folks emotioner, och göra detta till en mindre jobbig upplevelse och undgå att de misslyckas.

Hur ska de klassiska gränssnitten se ut tycker du?

– För det första bör man tänka på om användarna verkligen behöver ett lösenord över huvud taget. Om man ska köpa något i en e-butik; behöver man verkligen ett lösenord för det? Amazon har gått bort från detta, Ebay har också gått bort från detta. De säger att du kan köpa saker här, för det är det du är intresserad av, men om du vill kunna gå tillbaka och se dina tidigare köp och så vidare, då behöver du skapa ett konto – men inte innan dess.

– I de flesta onlinebutiker börjar upplevelsen med detta. Du är ute efter något helt annat, och så kommer detta hinder upp ”in your face” innan du får fortsätta med det du egentligen är intresserad av. Lösenordssituationen avbryter det du håller på med. Det passar helt enkelt inte in.

– Så det är det första steget. Måste den vara där? Kan vi inte acceptera att detta steg kommer någon annanstans? För de flesta nätbutiker som riktar sig till konsumenter är det ju mycket viktigare att de får betalt än att de nödvändigtvis måste veta vem som handlar.

– Sen tycker jag att man bör föreslå lösenord för användarna; ett bra sätt är att föreslå ett komplext lösenord, och låta användarna förenkla det i olika steg, tills de känner att det är tillräckligt enkelt för dem, och sen är det inte alls fel att skriva ned lösenord, säger Cecilie Wian.

Ser du ofta tjänster som använder lösenord slentrianmässigt, men som egentligen inte behöver det?

– Jag har pratat med folk som har bekymmer med hur de ska implementera lösenord, och det visar sig att tjänsten är sådan att användarna kommer att använda sitt lösenord dit kanske en eller två gånger i hela sina liv. Då behöver man inget lösenord, då kan man lösa det på annat sätt.

Ska vi över huvud taget ha lösenord?

– Ja, det måste vi. Det finns många fina fördelar med lösenord. För det första kan de bytas ut; ditt fingeravtryck kan inte bytas ut, och tänk dig hur mycket arbete det är med att byta ut din e-post. Så lösenord är bra, vi måste bara minimera de tillfällen när de behövs.

Så du tror inte på det lösenordsfria samhället?

Nej, inte det minsta. Men vi bör minimera användandet; tänka på vilka tjänster som verkligen måste använda lösenord så man slipper hamna i en situation med lösenord som man gör många gånger om dagen, säger Cecilie.

Vad tycker du om dessa tjänster som föreslår meningar med nonsensord?

– Det kan fungera ganska bra, men det kanske inte passar alla. Det viktiga är att trigga en kreativitet hos användaren, att användaren använder hela hjärnan och inte bara den lilla del som handlar om att komma förbi ett hinder så snabbt som möjligt. Då har vi skapat någonting mer än bara irritation, och vi ser mycket bättre resultat. Det leder till bättre lösenord, och det är ju syftet. Om man bara irriterar så uppnår man inget.

Om man bara irriterar användaren så uppnår man inget.

Hur gör du själv med lösenord?

– Jag använder en kombination. För det första så jobbar jag som konsult, vilket innebär att jag jobbar med många olika kunder. Då använder jag en lösenordhanterare där jag kan använda olika ”vaults” för olika kunder, för det är jag tvungen till.

– Men när jag privat stöter på tjänster som jag vet att jag kommer att använda bara en gång, eller mycket sällan, då bryr jag mig inte om att komma ihåg det, jag bara hittar på vad som helst som är långt, skriver in det igen, och sen glömmer jag det. Det är aldrig meningen att jag ska komma ihåg dem; det viktiga är att de är unika.

– Sen har jag några e-postkonton som jag använder som skräpkonton. Om jag mot förmodan skulle behöva lösenordet igen så använder jag funktionen att återskapa lösenordet, tillsammans med skräpkontot. Det är mycket enklare än att komma ihåg lösenordet.

Du har inget speciellt ”system” för lösenord då?

– Nej. Jag lägger i och för sig lite prestige i att hitta på kreativa lösenord, men jag inser att det inte är något för alla. Man hör talas om många olika system, men jag vet inte om jag tror på dem, för de är ofta väldigt svaga, det är enkelt att knäcka dem. Folk lägger på olika siffror på slutet och liknande, eller lägger till tjänstens namn och då blir det för enkelt, de liknar varandra för mycket, säger Cecilie Wian.

Något användare ofta stör sig på är system som tvingar dem att byta lösenord med jämna mellanrum. Vad tycker du om dem?

– Varför?! Det är så dumt! Det enda som händer är att användarna ändrar ett tecken på slutet, vilket inte ökar säkerheten över huvud taget. Systemen är dessutom ganska korkade; oftast kan du inte använda samma lösenord på 21 gånger. Många jag känner gör helt enkelt så att de byter lösenordet 21 gånger, och så kommer de tillbaka till det lösenord de egentligen vill ha. Tack ska du ha! It-folk gör detta hela tiden, de kan ju reglerna.

– Vi måste tänka mer på användarna. Det är inte fel på användarna, det är fel på systemen. När folk sitter på jobbet och ständigt och jämt måste ange lösenord för 5–10 olika tjänster så blir de bara irriterade. Vi måste tänka på om vi kan lösa det på ett annat sätt. Vi kanske kan använda SSO eller kanske smarta kort, det finns många metoder, men det är framför allt en fråga om mentalitet, att vi börjar tänka till, och tänka på användarna utan att försämra säkerheten, säger Cecilie.

Har du något råd till alla dem som har svårt för att hitta på lösenord?

– Kom på något du stöter på varje dag eller som är en del av ditt liv. Jag har en vän som slutade röka och använde den livssituationen för att hitta på lösenord. Den situationen var närvarande hos honom hela tiden, och det hjälpte honom att komma på sina lösenord, och att komma ihåg dem.

– Men för professionella användare rekommenderar jag lösenordshanterare, de är väldigt bra. Många använder en app i mobilen, och det hjälper en hel del. För vanliga användare tycker jag dock att det är för mycket krångel.

Läs också: 
Så hanterar du chefen som får nya idéer stup i kvarten
Säkerhetsexperten: ”Sluta tro att människor är korkade”