Hur skapar jag en säker inloggning utan att krångla till det?

Blogginlägg av Peter Antonius

Jag ska registrera mig för en ny tjänst och blir ombedd att välja ett lösenord. Eftersom jag en gång i tiden dyrkade bandet Nickelback använder jag (som vanligt) en variant av det ordet. Nu behöver jag visst en siffra också, en versal och så det där specialtecknet som ska in på slutet. Så då blir det alltså ”Nickelback1!”. Eller om det nu var ”NickelBack#1”? Det har jag redan glömt några minuter senare. Och nästa gång jag ska logga in får jag försöka igen och igen tills jag ger upp och tvingas klicka på den där länken för att återställa lösenordet. Länken som alla avskyr. Sen väljer jag ett nytt lösenord och det börjar om igen från början.

Även om du (mot förmodan?) inte gillar Nickelback så kanske du känner igen dig? Det är inte så konstigt. Alla användare i hela världen ställs hela tiden inför samma problem. För hur är det meningen att vi ska kunna minnas och använda säkrare och mer komplexa formler än detta? Och även om vi mot all förmodan skulle hålla reda på dessa lösenord, har vi som användare ens tålamodet att skriva in dom?

Lösenord i WordPress. Lyckligtvis finns det bra sätt att förbättra den här upplevelsen.

Vi konsumerar digitala tjänster som aldrig förr, och delar personuppgifter och annan känslig information. Nu är det hög tid för mig och andra UX:are att lägga mer tid på inloggnings-UX. 

Säkra lösenord hanteras osäkert

Ju längre och komplexare ett lösenord är desto säkrare är det. I alla fall i teorin. Ett lösenord på 12 tecken har många miljarder kombinationer. Det borde alltså vara i princip omöjligt att knäcka. Inte så konstigt då att många digitala tjänster, inte minst inom större organisationer, kommuner och myndigheter, tvingar personalen att använda långa och komplicerade lösenord. Ofta byts dessutom lösenordet ut en gång i månaden. Problemet med detta är att ingen någonsin kommer ihåg dem. Speciellt inte efter sommarsemestern. Istället skriver användarna ned dem på postit-lappar och klisttrar fast på datorskärmen eller sparar dem i textfiler på datorn.  Och tappar de bort lapparna ringer de helpdesken som ibland rent slentrianmässigt delar ut nya lösenord över telefon utan att verifiera mottagaren. Med den mänskliga faktorn tenderar alltså säkra lösenord att leda till en osäker hantering.

Säkrare inloggning med enklare lösenord

Ett alternativ till att tvinga användarna till komplicerade lösenord är att använda sig av tvåfaktorsautentisering. Det bygger på två saker: någonting som användaren vet (lösenord), och något som användaren har tillgång till (t.ex. sin telefon, e-post). Det här har under se senaste åren blivit väldigt vanligt vilket kan ha att göra med att mobiltelefoner har utrustats med mycket säker autentisering som användarna dessutom knappt märker av. Mobiltelefoner är dessutom perfekta verktyg för tvåstegsautentisering. De är ju alltid med en. Det här är en mycket bra metod som inte ställer samma högra krav på lösenord som en vanlig enkel inloggning. Det är inte nödvändigtvis så att det ens krävs ett lösenord.

Inloggning med Bank-ID på samma enhet – utan personnummer.

Inloggning från en enhet till en annan

Det är inte ovanligt att du  har tillgång till samma tjänst på flera olika enheter samtidigt, och det här är något jag som designer behöver ta hänsyn till. Det är inget konstigt för användarna att växla mellan olika enheter. Tvärtom gör ju de flesta detta så gott som hela dagarna. Om jag bygger en tjänst som primärt används på en tv kan jag utgå från att ingen vill sitta och knappa in det långa lösenordet som valdes när man signade upp via datorn (eller telefonen). Ett annat exempel är WiFi-lösenord. Här har Apple en smidig lösning för delning av lösenord mellan enheter.

Dela WiFi-lösenord enkelt mellan olika enheter.

Tänk om (eller tänk nytt)

Om du är på väg att bygga digitala tjänster, tänk igenom inloggning och vilka säkra och moderna alternativ som redan finns idag. Våga släppa de här klassiska kraven som bara leder in användarna i samma gamla lösenordsmönster som skapar frustration och i slutändan inte ens är särskilt säkra. Se er om hur andra har kunnat lösa det smidigt just för deras sammanhang och ändamål. Behöver ni ens ha lösenord över huvud taget? Kanske fungerar det med en så kallad magic link där användaren loggar in genom ett mail? Testa att registrera dig på Medium.com endast genom din epost – du kommer bli förvånad hur snabbt det går! För den som söker finns det alltså många nya och säkra möjligheter i att designa inloggningar som användarna tar sig igenom utan att knappt ta någon notis av det. 

  • Bedöm säkerhetskraven i er tjänst – vad kan ett intrång komma åt för information?
  • Leta efter en balans mellan säkerhet och användbarhet
  • Titta er omkring på hur andra tjänster löser det
  • Om ni kan använda Mobilt Bank-ID – gör det!
Vad är modulär design?

Vad är designmönster och modulär design?

De senaste åren har modulär design blivit allt mer populärt. Whitespaces UX-designer Peter Antonius tipsar om ett mer hållbart sätt att jobba med design. Läs mer
Vilket Headless CMS ska jag välja?

Vilket Headless CMS ska jag välja?

Ska man använda Headless WordPress, Headless Episerver eller kanske ett molnbaserat Headless CMS? Fredrik Johansson tipsar om olika Headless-alternativ. Mer om Headless CMS