Nye krav til kodeord i Uni-Login møder kritik: »I virkeligheden er det ikke sikkerhed – det ligner bare sikkerhed«
Hvis man har sin daglige gang på en af Danmarks mange folkeskoler, er det snart tid til at gentænke sine adgangskoder, når man logger på skolens intranet og portaler.
Fra uge otte gælder der nemlig nye krav til kodeordene, som skal højne sikkerheden i uddannelsessektorens login-løsning, Uni-Login, som bruges til blandt andet Aula.
0-3. klasse: Koder skal bestå af fire piktogrammer.Nye krav til folkeskoleelevernes adgangskoder:
4-6. klasse: Koder skal indeholde store og små bogstaver og minimum otte tegn.
7-9. klasse: Koder skal indeholde store og små bogstaver, tal og minimum otte tegn.
Elever fra 4. klasse og op skal derudover skifte deres koder hvert år.
Under den nuværende praksis får elever tildelt tilfældige koder med tilfældige tegn, som de skal lære udenad.
Når koden imidlertid ikke siger eleven noget som helst, kan det ske, at enten eleven eller elevens lærere ser sig nødsaget til at skrive koden ned på et stykke papir for at kunne huske den.
Men når eleverne nu selv skal finde på adgangskoder med et personligt præg, bliver de nemmere at huske uden hjælp fra et nedskrevet stykke papir i penalhuset, lyder ræsonnementet.
Og når adgangskoden kun kendes af én person og ikke findes på et fysisk papir, der kan falde i de forkerte hænder, vil sikkerheden omkring Uni-Login og Aula blive større. Det fortæller Klaus Østergård Jensen, kontorchef hos Styrelsen for It og Læring (STIL), der står bag Uni-Login:
»Allerede fra børnehaveklassen vil vi lære dem, at adgangskoder er personlige, og at det kun er den enkelte elev, der skal kende den. Til gengæld har vi gjort koderne lidt simplere, så de er nemmere at huske,« siger Klaus Østergård Jensen.
Post-it
It-ansvarlig og lærer på Peder Lykke Skolen i København William Bendsen er dog skeptisk i forhold, hvor nemt det bliver for de enkelte elever at huske adgangskoder med de kommende krav.
Ikke kun fordi kravene bliver større, men også fordi lærerne ikke har mulighed for at hjælpe børnene, hvis sidstnævnte glemmer deres kodeord.
»I det nye system skal eleverne huske dem udenad selv, uden at lærere kan lære adgangskoden eller hjælpe dem med at huske dem, og det er ned til 1. klasse, 8 år gamle børn, der skal huske disse udenad,« siger William Bendsen.
Han har svært ved at se, hvordan elever kan modstå fristelsen til at skrive koden ned på et stykke papir for at supplere hukommelsen. Og dermed forsvinder den sikkerhed, man ellers har forsøgt at tilstræbe ved at implementere de nye krav.
»Hvis der ligger et par post-it notes til hver adgangskode, så er sikkerheden jo gået fløjten. Det bliver et sikkerhedsteater. Så er det pænt klædt på, og alle kan genkende, at ‘det her, det er sikkerhed’, men i virkeligheden er det ikke sikkerhed. Det ligner bare sikkerhed,« siger William Bendsen.
Selvstændig it-sikkerhedsforsker med særligt fokus på kodeord Per Thorsheim er også skeptisk over kravene til elevernes nye adgangskoder.
Han mener, at kravene misser pointen.
»Det fungerer ikke nødvendigvis med lange passwords med store og små bogstaver, tal og specialtegn. Det har forskning i flere år vist,« siger Per Thorsheim.
Modsat William Bendsen er Per Thorsheim dog positiv overfor ideen om at anvende post-it-notes og andre papirlapper til at huske adgangskoder. Især hvis man opbevarer dem derhjemme, hvor kun ens egen familie potentielt kan få fingre i dem.
»Ingen løsning er perfekt, men post-it notes er stadigvæk bedre, også for børn,« siger Per Thorsheim.
Mere nonsens – for en sikkerheds skyld
Både Per Thorsheim og folkeskolelærer William Bendsen ser med bekymrede øjne på de kommende krav til elevernes adgangskoder.
Og begge har en anderledes løsning på, hvordan eleverne kan lave personlige, unikke koder, der er nemme at huske, og som derfor ikke behøver at blive skrevet ned.
Og løsningen er mere vrøvl, eller såkaldte nonsens-sætninger. En nonsens-sætning kan eksempelvis være en 20 tegn lang sætning, som beskriver en episode, hvor eleven spillede fodbold med sin mor.
»Den nyeste forskning siger, at et sikkert kodeord kan være en nonsens-sætning, som på en måde er relateret til noget, du kan huske. Man kan så lave en note til sig selv, som er umulig for andre at afkode, fordi den relaterer til en nonsens-sætning, som man kan huske udenad,« siger William Bendsen.
Til ideen om nonsens-sætninger som adgangskoder til Uni-Login svarer kontorchef hos STIL Klaus Østergård Jensen, at man har taget nogle af de gode ideer med sig fra nonsens-konceptet.
Blandt andet ved at komme med forslag til formatet for elevernes adgangskoder. Rådet til bedre at kunne huske sine koder er at lade dem bestå af et tillægsord og et dertilhørende navneord, hvilket eksempelvis kan være LilleHest24.
Det opfylder samtidig kravene til de ældste elever om, at koden skal indeholde tal samt både små og store bogstaver.
»Jeg synes, det er noget af det, vi har implementeret i vores løsning i virkeligheden, da det består af tillægsord, navneord og tal. De er lettere tilgængelige (end tilfældige koder, red.), så det er henad nonsens-sætninger. Tilbagemeldingen på vores brugertests siger ihvertfald, at de adgangskoder, vi foreslår, faktisk er gode,« siger Klaus Østergård Jensen.
LearningByDoing420
Klaus Østergård Jensen ser det kommende format som en mulighed for, at eleverne kan lære, hvordan de skal begå sig på nettet og passe på deres online-identitet.
»Det her er en dannelsesrejse. Så kan vi statuere overfor børnene, at det er vigtigt, at man håndterer sin adgangskode korrekt, at man ikke deler den med andre, at man ikke har samme kode til forskellige løsninger, og at man skifter den engang imellem,« siger han.
Per Thorsheim ser også værdi i at skærpe kravene til adgangskoder for selv de yngste elever.
»Ja, det kan gå galt, men det er også den måde, man lærer det på, via fejl. Jo bedre vi forsøger at lave god sikkerhed fra start, desto bedre lærer vi barnet om det senere,« siger Per Thorsheim.
Men folkeskolelærer William Bendsen stiller spørgsmål ved, om det skal være lærerens opgave at danne børn i it-sikkerhed, når det gælder adgangskoder.
»Der er mange ting, der bliver selvfølgelige (som vi skal undervise børnene i, red.). Nogle børn i 6. klasse kan heller ikke binde deres snørebånd, og selvfølgelig skal vi lære dem det, men der bliver jo ikke sat tid af til det,« siger William Bendsen.
Klaus Østergård Jensen fra STIL mener derimod ikke, at dannelsen i it-sikkerhed kommer til at tage at tage yderligere tid fra lærernes arbejdsgang, selvom den nye adgangskode-kultur byder på nye opgaver.
Det er ihvertfald erfaringen fra de testforsøg med systemet, som STIL har afprøvet sammen med flere lærere.
»Det kan godt være, at lærernes arbejde bliver anderledes, men det er det værd i forhold til, at de ikke skal sidde med lister over børnenes koder. Arbejdet bliver anderledes, men det er ikke vores oplevelse, at arbejdsopgaverne bliver større, baseret på brugertests,« siger Klaus Østergård Jensen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
