Säkerhet, användarvänlighet & kostnader

Säkerhetskraven på webbaserade system ökar ständigt. Samtidigt är säkerhet tekniskt komplicerat, gör inloggningen svårare för användaren och kostar pengar.

Säkerhetsfrågor på webben blir allt mer aktuella. Idealet vore väl att alltid ha högsta säkerhetför användares inloggning men tittar man närmare på frågan är det inte självklart.

Med hög säkerhet minskar användarvänligheten och ökar kostnaderna. Därför är säkerhet alltid en fråga om kompromisser och en balans mellan användarvänlighet, teknik och ekonomi.

Riskbedömning
Ett exempel - när vi för 5 år sen byggde grunden för www.almedalsveckan.info tittade vi i projektet främst på vad ett intrång i systemet skulle betyda. Dvs om en besökare får sitt lösenord stulet, vad påverkar det?

Svaret blev att det i sak inte påverkade någonting som är viktigt ur integritetssynvinkel. En användare kan få sin lista på evenemang man vill besöka förstörd. Det är allt.

Dessutom visste vi då och vet fortfarande att användare vill ha det så enkelt som möjligt och då är det bra att kunna skicka ut lösenord i klartext.

Samma lösenord i olika system
Idag - 5 år senare är situationen en annan. Användare vill fortfarande ha enkelhet, men många användare använder samma lösenord till många olika system t ex Facebook, Twitter och andra sociala siter. Då blir det lite värre om man får sitt lösenord stulet - vilket det kan bli enklare om lösenordet sparas i klartext. Dessutom är lösenordsstölder betydligt vanligare. Nyligen fick LinkedIn 6 miljoner lösenords stulna. Många av dem gick säkert till andra system.

Användare kan öka säkerheten
Användare själva har också en möjlighet att skapa större säkerhet helt enkelt genom att använda olika lösenord i olika system. Man kan t ex ha ett lösenord för system som inte är särskilt känsliga och ett annat för mer känslig information eller olika i alla. Men det är klart att det är krångligare än att använda ett enda lösenord på alla siter.

Kryptera
Idag blir ledstjärnan - när du bygger system - kryptera lösenordet! Tyvärr måste då användare anpassa sig till att det blir lite besvärligare om man glömt sitt lösenord, åtminstone om man inte är van användare.

Våra system
Alla system vi levererar idag har inbyggd hantering med s k krypterad och hashad lösenordshantering. I takt med att våra kunder uppdaterar får de automatiskt tillgång till detta.

Sen kan man välja att lägga på ytterligare säkerhet - i form av krypterade förbindelser, trepartsinloggning (t ex kontrollkod via SMS) och ytterst banksäkerhet med dosa. Men allt detta kostar pengar och ökar komplexitetsgraden. Därför gör man alltid en riskbedömning. Vad händer om vi får ett intrång?

Hillar Loor
Senior Partner
2012-06-27