17 Dec Jo, du kan godt få både sikkerhed og brugervenlighed – her er 3 bud
Selv i den mest fortærskede far-joke kan man finde et gran af sandhed. Her er f.eks. noget af det allerældste digitale onkelhumor:
Medarbejder: “Hvordan sikrer jeg min computer og telefon 100 procent mod cyberangreb?”
Sikkerhedsansvarlig: “Nemt. Du slår internetforbindelsen fra, slukker computeren og telefonen og lægger dem tilbage i æsken. Og i øvrigt, hvem har fortalt dig, at du måtte pakke dem ud af æsken i første omgang?”
Meget digital teknologi er som udgangspunkt usikkert, og øget brugervenlighed er traditionelt forbundet med øget usikkerhed.
I dette blogindlæg bliver du klogere på, hvorfor det ikke nødvendigvis er sandt. Og så får du tre gode eksempler på løsninger, der både øger brugervenligheden og sikkerheden for brugeren.
Virker det ikke for mennesker? Så virker det ikke
Vi bliver aldrig 100 procent sikre. Men sikkerhed og brugervenlighed er gensidigt afhængige af hinanden.
Vi bliver ikke mere sikre af noget system, noget produkt, nogen procedure eller nogen service, medmindre designet er brugervenligt, og kravene er overskuelige for almindelige mennesker i en travl hverdag.
Hvis noget er svært at bruge, øger man sandsynligheden for, at det bliver brugt på en forkert og dermed potentielt usikker måde.
Hvis en sikkerhedspolitik ikke virker for mennesker, virker den ikke. Og det kræver brugervenlighed.
Men det er muligt at få høj sikkerhed og høj brugervenlighed på én gang. I /KL.7 har vi bl.a. brugt den indsigt i vores arbejde med danskernes informationssikkerhed og med at forbedre unges digitale dannelse.
/KL.7 har brugt adfærdsdesign til at skabe målbare
forandringer siden 2011 – se, hvad vi kan gøre for dig her.
Her er tre bud, som viser, at principper fra adfærdsdesign er enormt værdifulde i relation til cybersikkerhed:
1. Password manager til browseren og tommelfingeren
Problemet: Kodeord er åndssvage. De er svære at konstruere og umulige at huske, og man ender med at skrive dem ned og bruge det samme overalt. Password-systemet er et skoleeksempel på, at lav brugervenlighed fører til lav sikkerhed.
I det lys er det smart at hente en password manager. Den opbevarer dine login på en sikker måde og husker dem for dig. Men – det er altså lidt besværligt at skulle åbne et separat program for at hente sine kodeord, hver gang man skal logge ind et nyt sted. Det ekstra besvær skræmmer mange væk fra at bruge en password manager.
Løsningen: Få en password manager, som har en browser-udvidelse til computeren og mulighed for at bruge touch-id til telefonen. Jeg bruger selv 1Password, som understøtter begge dele, så jeg kan logge direkte ind overalt på både telefonen med min tommelfinger og direkte i browseren på computeren. Det er altså smart.
Derfor er det smart: Password manageren løser et grundlæggende sikkerhedsproblem med kodeord, og de ekstra features fjerner en masse friktion fra brugeroplevelsen uden at gå på kompromis med sikkerheden.
Der har godt nok været en del kritik af sikkerheden i password manageres browser-udvidelser, fordi nogle af dem opbevarer passwords i selve udvidelsen og dermed giver hackere potentiel adgang til at kigge med på dine passwords.
1Password opbevarer dog ingen data i selve udvidelsen. Det gør LastPass i øvrigt heller ikke. De kommunikerer direkte med et program på din computer, som du derfor – og det er det eneste minus – er nødt til at installere.
2. Automatisk adgangskode-tjek
Problemet: Selvom kodeord er åndssvage, skal dine kodeord jo være sikre. Ingen af dem må være svage eller genbrugte eller lækket fra en eller anden kæmpe database.
Men ligesom de fleste andre danskere bruger du sikkert ikke 1Password eller LastPass, og du gider ikke tjekke www.haveibeenpwned.com eller lignende tjenester hver uge. Det er nemlig besværligt, tidskrævende og kræver, at du husker at gøre det jævnligt.
Løsningen: Uddelegér den trælse opgave til en simpel udvidelse i browseren. Google Chrome har f.eks. Adgangskodetjek.
Udvidelsen holder øje med om et eller flere af de kodeord, du har logget ind med for nylig, er registreret i forbindelse med et datalæk eller et større hackerangreb.
Derfor er det smart: Adgangskodetjek øger din sikkerhed, men den gør det ikke mere besværligt for dig at håndtere kodeord i hverdagen.
Du får nemlig KUN notifikationer fra Adgangskodetjek, hvis du SKAL gøre noget.
Ellers holder den sig bare i baggrunden. Og så kan du kan slette alle passworddata med ét klik, hvis du vil sikre dig mod evt. læk fra Googles database.
3. Dynamiske CVV-koder (OBS: En mulig løsning i fremtiden)
Problemet: Online-shopping er i kæmpe vækst. Og det samme er svindel med kreditkort-oplysninger. Alene i første halvdel af 2019 blev der stjålet 23 millioner kreditkort online. Hvis kriminelle hugger dit kreditkortnummer fra en betalingsside eller lignende – og det er nemmere, end du tror – kan de mere eller mindre uhindret bruge alle dine surt opsparede penge.
Løsningen: Erstat CVV-feltet bag på kortet med en lillebitte LED-skærm, som viser en CVV-kode, der skifter hver halve time. Dynamiske CVV-koder gør, at kriminelle maksimalt kan misbruge stjålne kreditkortoplysninger i en halv time. For så gælder de ikke længere.
Derfor er det smart: De dynamiske CVV-koder løser et sikkerhedsproblem, samtidig med, at de gør det ikke mere besværligt for brugeren at anvende kreditkortet. Oplysningerne er de samme, og de står samme sted og på samme måde som altid. Smart, ikke?
… Jo jo, men kan den holde batteri?
Yes. Lithium-batteriet holder i 3 år, dvs. indtil kortet alligevel udløber. Det ser dog ud til, at vi skal vente lidt endnu, før kreditkort med LED-skærme og dynamiske CVV-koder bliver allemandseje.