Experter kritiska när Microsoft fimpar lösenordet

2021-09-23 09:32  

Den som vill logga in på sitt Microsoft-konto behöver inte längre något lösenord. ”Framtiden är fri från lösenord”, proklamerar teknikjätten. ”Det tror jag i och för sig inte”, kontrar säkerhetsexperten Anne-Marie Eklund-Löwinder.

Med några få klick går det nu att inaktivera lösenordet till sitt Microsoft-konto. Det som då återstår är exempelvis identifiering på biometrisk väg med Windows Hello. Det går också att logga in med en hårdvarunyckel av det slag som exempelvis svenska Yubico gör, eller med en tillfällig kod som skickas till användarens telefon eller e-post. 

– Jag vet inte riktigt om jag tycker det är ett steg i rätt riktning, säger Anne-Marie Eklund-Löwinder, säkerhetschef på Internetstiftelsen. 

Det som får Eklund-Löwinder att tvivla är att tvåfaktorsautentiseringen försvinner för den som väljer att inaktivera lösenordet. Det här är en uppfattning hon delar med Per Thorsheim, grundare av konferensen Passwordcon. Till Malwarebytes Labs blogg säger Thorsheim att Microsoft tar bort ”någonting du vet”-faktorn.

Läs mer: Över 7 miljoner kunde få sin röstbrevlåda avlyssnad

– Vad har vi då för valmöjligheter kvar? Bara sådana som kan bli stulna eller missbrukas i nära relationer? Blir det enklare för en förövare när den inte längre behöver gissa eller komma över ett offers lösenord? 

Per Thorsheim undrar därutöver hur komplicerat det kommer att bli att kunna återställa ett konto utan ett lösenord som en extra garanti.

Ett alternativ till tvåstegsverifiering har dykt upp bland inställningarna. Foto: Microsoft

Redan 2004 dödförklarade Bill Gates lösenordet, men metoden har visat sig vara svår att avliva. Likafullt har Microsoft under ett antal år gjort ansträngningar för att demonstrera att dess grundare haft rätt hela tiden. Den här senaste uppdateringen gäller privatanvändare: företagsanvändare har haft möjligheten att välja bort lösenord sedan i mars.

Dåliga lösenord bakom 8 av 10 it-attacker

Enligt World Economic Forum ligger allt för svaga lösenord bakom 80 procent av alla dataintrång. Microsoft har tagit fasta på det och menar att användarna står mellan att välja ett lösenord som är säkert men för svårt att komma ihåg, eller ett dåligt som är enkelt att komma ihåg.

Läs mer: ”Attacken mot Coop kan vara precis vad vi behövde”

Det finns dock ett antal lösenordshanterare – 1password till exempel – som gör lösenord både säkra och enkla att handskas med. 

– Jag tycker personligen att lösenord, rätt hanterade, är en lösning som är svår att klå både när det gäller kostnad för att införa, och även användarvänlighet. Många säger att det är krångligt med lösenordshanterare och jag kan hålla med om att det finns en inlärningströskel. Men krångligt? Nej, det köper jag inte. Det finns många nya fiffiga och moderna lösningar, säger Anne-Marie Eklund-Löwinder.

Läs mer: Linkedin skrapat på data – 700 miljoner användare drabbade

Det bör noteras att många av oss har betydligt fler konton än bara dem hos Microsoft och att det i de allra flesta fall då krävs ett lösenord, precis som alltid. Likafullt är det inte bara Microsoft som tar strid mot den gamla beprövade metoden: ett antal startupföretag har tagit fasta på att det blivit så enkelt med biometrisk identifikation och erbjuder lösningar med hjälp av sådan teknik.  

Men Anne-Marie Eklund-Löwinder påminner om att det finns nackdelar även med biometri.  

– Du kan byta lösenord, men du kan inte byta tumme. Därför bör man ha fler än en faktor när man ska logga in. Det ska inte hänga på en enda. 

Peter Ottsjö

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt