Eksperter enige: NemID-password er for ringe

Danskernes digitale adgangskort tager ikke hensyn til, om du bruger store eller små bogstaver i dit password. En markant forringelse af sikkerheden, lyder det fra en stribe eksperter.

15. september 2010 kl. 13.37

Nicolai Devantier Journalist

God password-politik

Sikkerhedsfirmaet Imperva, der er eksperter i password, giver følgende gode råd om valg af stærke password.

1. Tag en sætning og lav det om til et password. Noget lignende som "This little piggy went to market" kan blive til "tlpWENT2m".

2. Brug forskellige passwords på alle websites - selv der hvor privacy ikke er et problem.

3. Betro aldrig dine vigtige passwords (webmail, netbank og lignende) til en tredjepart.

4. Passwords bør være på mindst 8 tegn. Anvend fire forskelige typer tegn: Store bogstaver, små bogstaver, tal og specialtegn som @£$&%¤#.

5. Passwords bør ikke være et navn, slang eller et ord fra ordbogen.

6. Undgå at anvende dele af dit navn eller e-mailadresse som password

Når man vælger password til sin NemID-konto, behøver man ikke bekymre sig om, om det skal indeholde store og små bogstaver. Det er nemlig fløjtende ligegyldigt.

Det er ellers en klassisk tommelfingerregel, at et stærkt password skal indeholde både store og små bogstaver samt tal og tegn. Derved opnår man en markant højere sikkerhed.

Denne holdning deles dog ikke af DanID, der er firmaet bag NemID. Her sondrer man nemlig ikke mellem store og små bogstaver, og det har man heller ikke tænkt sig at gøre.

"Det er den politik, der er vedtaget," siger Peter Lind Damkjær, PKI-specialist i DanID.

DanID's forklaring på password-politikken er, at man skal se login, password og nøglekort-koden som et samlet password.

De tre elementer skal være korrekte, ellers kan man ikke få adgang. Samtidig er NemID beskyttet mod brute force-angreb således, at kontoen lukkes efter fem forkerte login-forsøg.

Årsagen til, at man vælger de store bogstaver fra, er for, at brugeren ikke skal bliver forvirret.

"Til gengæld kan man vælge et password, der er op til 40 cifre langt, hvilket giver stor sikkerhed," siger Peter Lind Damkjær, fra DanID, som ligeledes fortæller, at der ikke er planer om at lave politikken om.

Markant dårligere sikkerhed

En stribe sikkerhedseksperter er derimod enige om, at det giver en markant bedre sikkerhed, hvis man sondrer mellem store og små bogstaver i et password.

"Det forringer sikkerheden markant, hvis man ser bort fra forskellen mellem store og små bogstaver," siger Ken Willen, der er sikkerhedsekspert i Symantec.

"Det undrer mig meget, at man har set bort fra den mulighed i NemID-løsningen," siger han.

Hans undren deles af Peter Kruse fra sikkerhedsfirmaet CSIS og Shehzad Ahmad, der er leder af DK-CERT, som begge pointerer, at et password er langt stærkere, hvis man bruger både store og små bogstaver.

Det er dog ikke ualmindeligt, at funktionen fravælges.

"Flere virksomheder anvender en lignende politik, da blandingen af store og små bogstaver giver meget trafik i support-afdelingen, fordi folk ikke kan huske den kombination, de har valgt," siger Peter Kruse.

Eksperter enige: NemID-password er for ringe

Markant dårligere sikkerhed

Enhver strategi for applikationsmodernisering bør tage netværket med fra start