Artikel top billede

(Foto: PC World)

Derfor kan din 'stærke' adgangskode være totalt usikker - også selv om du får noget andet at vide

Når en webtjeneste fortæller dig, at din adgangskode er 'stærk', kan det være en direkte vildledende melding. Se hvorfor her.

Det er ingen hemmelighed, at alt for mange af os bruger for svage adgangskoder til de forskellige webtjenester - men at selv de såkaldt 'stærke adgangskoder' faktisk er svage er alligevel noget overraskende.

Forskere fra Concordia University i Canada har udført et interessant studie af de måleværktøjer, de forskellige webtjenester anvender til at fortælle dig, om din nye adgangskode er for svag, acceptabel eller ligefrem stærk.

For selvom du får besked om, at adgangskoden er stærk og robust, er det langt fra givet, at det rent faktisk forholder sig sådan i virkelighedens verden.

Universitet skriver, at man bør være skeptisk overfor de måleinstrumenter, der anvendes på mange webtjensster.

Ingen sammenhæng i stærke og svage adgangskoder

Forskerne Mohammad Mannan og Xavier de Carné de Carnavalet undersøgte problemet ved at sende millioner af ikke specielt gode adgangskoder igennem de værktøjer, som blandt andre Google, Yahoo!, Dropbox, Twitter og Skype gør brug af.

Og brugerne skal passe på med at lægge for meget i det, når webtjenesten markerer adgangskoden som rød, gul eller grøn.

"Udfaldet viste sig at være meget inkonsekvent. Det, der var stærkt på én webside, var svagt på en anden," udtaler Mohammad Mannan fra Concordias Institute for Information Systems Engineering.

"Disse svagheder og inkonvensen kan forvirre brugerne, når de skal vælge et stærkere password og derfor mindske formålet med disse måleværktøjer. På den anden side kan vores resulater i det lange løb måske hjælpe til et bedre design og gøre dem til effektive værktøjer," mener han. 

Forskerne fra Canada fremhæver Dropbox som en tjeneste, der er dygtig til at sikre, at brugerne har stærke og robuste adgangskoder.

"Dropbox' ret simple tjek er ret effektivt i forhold til at analysere adgangskoder og er et skridt i den rigtige retning. Ethvert ord, der findes i ordbogen, vil automatisk blive opfanget af Dropbox' måleværktøj og blive fremhævet som svagt. Det tvinger automatisk brugerne til at tænke videre end almindelige fraser, når de opretter en adgangskode."

Det canadiske studie viser blandt andet, at nogle adgangskode-målere er meget strikse og kun anbefaler adgangskoder med både bogstaver, tal og symboler, mens andre godkender adgangskoder, der udelukkende består af bogstaver.

Derfor har vi svage adgangskoder

Problemet med brugernes svage adgangskoder til webtjenesterne har flere årsager:

En vedblivende udfordring er, at brugerne ofte glemmer de mere komplicerede adgangskoder og derfor selv vælger nogle lidt lettere - eksempelvis navnet på deres barn, et efternavn eller blot '12345'.

Mange har også svært ved at huske på mange forskellige adgangskoder og vælger derfor at bruge den samme kode på mange forskellige tjenester, hvilket også er et problem.

Nogle brugere forsøger at undgå genbrug af adgangskoder ved i stedet at gemme dem i en såkaldt password manager, hvor man så har et master-password.

Denne fremgangsmåde har dog også vist sig at rumme alvorlige sårbarheder - senest med en trojansk hest ved navn Citadel, der har kompromitteret millioner af computere rundt omkring i verden for blandt andet at kunne gå direkte efter brugernes passwords managers.

Du kan se nærmere på resultaterne fra den canadiske undersøgelse her (PDF).

Læs også:

Seks nye tendenser tegner pc'ernes fremtid: Snart vil du se dem indbygget i din computer

Trojansk hest jagter dine adgangskoder: Sådan kan du forsvare dig

Derfor er dine web-adgangskoder alt for ringe




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere