Det var nytt for meg at det var mulig å lage et nytt passord til iCloud så lenge man har en enhet som er innlogget og passkoden til enheten slik Joanna Stern opplyser i sin siste meget interessante video (litt morsomt at LastPass trekkes frem som et alternativ). Og at i teorien kan en passkode på seks tall (og kanskje så få som fire) være nok til å endre et komplekst passord til noe annet.
Og jeg skulle ønske at dette var en funksjon det skulle være mulig å slå av. Fordi min passordhygiene nok er hakket bedre enn hvermannsen.
Men det er litt frust at kanskje den viktigste forholdsregelen de fleste kan da med tanke på dette problemet er faktisk å bruke touch eller faceid. Da taster man ikke inn koden så ofte, og blir kanskje litt mer bevisst på forholdene rundt seg når man eventuelt må taste den inn.
Så når tiltak mot dette problemet blir listet opp så anbefales følgende:
- Skifte til en alfanumerisk kode
- Være veldig bevisst på når og hvor man taster inn kode (og som en innskutt bisetning, bruk touch eller faceid)
- Tenk på å kanskje bruke en annen passordhåndterer
Ikke så uefne råd sånn i bunn og grunn, men det minner meg litt om arbeidsgiver som under en tidligere sikkerhetsmånedmail hadde følgende rekkefølge på hva man skulle gjøre om man mistet eller ble frastjålet mobilen:
- Sperre simkortet
- Endre passord på jobbkonto
- Varsle brukerstøtte
- Prøve å fjernslette telefonen
Personlig er jeg av den oppfatning at denne rekkefølgen er håpløs. Min rekkefølge ville ha vært:
- Prøve å fjernslette telefonen
- Endre passord på jobbkonto
- Varsle brukerstøtte
- Sperre simkort
Suksessen for å fjernslette en telefon er hakket større om den har et aktivt simkort i seg.
Men tilbake til rådene Joanna Stern ga mot slutten av videoen. Min rekkefølge ville ha vært:
- Bruker du ikke touch eller faceid, så begynn å bruk det.
- Endre til å bruke en lengre alfanumerisk passkode (bruker man bare tall så er det talltastaturet som kommer opp)
- Bli veldig bevisst på hvor og når man evt. må taste inn passkode om tøtsj/faceid trengs å fornyes eller har feilet pga lys eller andre forhold.
- Så vurder passordmanagersituasjonen. Men har man gjort 1 til 3, så bør ikke dette nødvendigvis være et steg man foretar seg. Dog, det virker jo som om f.eks amerikanske bankapper er litt rare.
Dog, det er jo sånn at forskjellige mennesker har forskjellige trusselbilder. For noen er trusselen familie/partner, og da kan biometriske løsninger være en svakhet. Men er den største trusselen skuldersurfing, så er jo touch eller faceid en bedre løsning.
Det er vanskelig å skuldersurfe etter passkoden om du aldri taster den inn i offentligheten.
Ikke hørt ferdig hele segmentet på siste The Talk Show der Gruber og Marco snakker om dette, men jeg blir litt oppgitt når man diskuterer lengden på passkoden når løsningen i det store og hele for de fleste er å bruke touch eller faceid (jaja, det var litt annerledes under pandemien). Samt at det er ting som tyder på at amerikanske bankapper ikke nødvendigvis er de beste når det gjelder innloggingsikkerhet.
For mine to banker så har den ene appen bankappkode som jeg setter selv, og som ikke lagres i iCloud Keychain (i tillegg til faceid), mens den andre har en kode som bare kan settes via nettbanken på web (i tillegg til faceid).
Har ikke testet det med den første banken, men normalen er at om det skjer en endring med det biometriske, som f.eks at det legges inn et nytt fingeravtrykk eller ansikt, så vil nettbanken ikke godta å bruke biometri første gang etter at det skjer. Fordi apper har mulighet til å sjekke dette.
Strengt tatt bør alle apper som lar deg bruke biometri for å gi tilgang til appen også kreve at man setter en pinkode eller passord for de tilfellene der biometrien er endret eller biometri ikke virker. Og denne pinkoden kan man etter min mening gjenbruke på enheten, den må bare være forskjellig fra passkoden til telefonen.