Slut med store og små bogstaver og mystiske tegn: Manden bag de mest anvendte - og irriterende - password-regler tog fejl: "Jeg fortryder meget af det, jeg anbefalede dengang"

Manden, der fandt på, at gode password skal indeholde mærkelige sammensætninger, tal, store bogstaver og tegn, fortryder sine anbefalinger. "Jeg tog fejl," siger han. Tr0ub4dor&r er ikke et godt password. Her er de nye anbefalinger.

De fleste it-brugere har prøvet at blive bedt om at forny deres password med krav om, at det nye password skal indeholde mindst otte tegn, både store og små bogstaver samt tal.

Selv om de muligvis er svære for uvedkommende at gætte, kan de mystiske password også hurtigt blive svære at huske for den retmæssige ejermand.

Kravet om de obskure password-formuleringer har gennem årene irriteret millioner af mennesker.

Og nu fortryder manden, der oprindeligt anbefalede, at man indførte krav om de komplicerede password på alverdens tjenester og websites.

Han hedder William E. Burr, og han stod i 2003, da han arbejdede i amerikanske National Institute of Standards and Technology bag en kendt udgivelse om password-management (NIST Special Publication 800-63).

Her anbefalede han, at man beskyttede konti og lignende med mærkværdige ordsammensætninger skrevet med varierende bogstav-typer, store bogstaver og tal. Og at passwordene bliver ændret jævnligt.

En manual
I USA blev udgivelsen hurtigt en slags manual til formuleringen af password-politik.

Men den holder ikke vand, lyder det nu fra William E. Burr, der er 72 år i dag.

“Jeg fortryder meget af det, som jeg anbefalede dengang,” siger han til Wall Street Journal.

Han anbefalede dengang eksempelvis , at man eksemplelvis skifter password hver tredje måned.

I dag siger han, at hyppigheden gør, at de fleste blot ændrer et enkelt tegn i deres password, hvilket betyder, at passwordet stadig er nemt at gætte.

Han siger også i dag, at det ikke gør passwordet mere sikkert eller sværere at gætte for en hacker eller en robot, at man anvender tal, store bogstaver, tegn eller lignende besværligheder.

National Institute of Standards and Technology udgav for en måneds tid siden en revideret udgave af Special Publication 800-63, hvor en en stor del af anbefalingerne er blevet ændret.

Skrevet næsten helt om
Arbejdet har taget mere end to år, selv om det oprindeligt var forventningen, at publikationen blot skulle have en let omskrivning.

Det er imidlertid endt med en næsten total omskrivning, skriver avisen.

National Institute of Standards and Technology har således helt fjernet anbefalingen om, at der skal indgå special-tegn i et password. Også anbefalingen om, at et password skal fornyes med korte intervaller er væk.

Reglerne har ikke hjulpet på it-sikkerheden - men har haft en negativ indvirkning på brugervenligheden, lyder det nu.

Istedet anbefaler National Institute of Standards and Technology nu, at man istedet for mystiske bogstav-sammensætninger anvender lange fraser, som er nemme at huske.

Det er nemlig tidligere blevet påvist, at hackere har sværere ved at knække et password, der består af fire sammensatte ord end et kortere password, der består af mærkelige bogstavsammensætninger som eksempelvi Fl+IO&.

Dette skyldes, at hackerrobotter og lignende har sværere ved at gætte koder med mange tegn end få tegn - uanset hvilken beskaffenhed de har.

Således skulle et password som “Rigtigbilopløsninghurtigvidenskab’ være mange gange sikrere end William E. Burrs oprindelige stjerneeksempel, Tr0ub4dor&r.

NIST anbefaler også, at man kun skifter password, hvis der er tegn på, at det gamle password er blevet misbrugt.

Havde ikke noget at bygge det på
William E. Burr siger i dag, at hans oprindelige anbefalinger ikke rigtigt var baseret på empiri, da der på dette tidspunkt ikke rigtigt fandtes noget.

Samtidig var han under tidspres og skulle finde på noget, siger han.

“Det var faktisk nok for kompliceret at forstå for mange mennesker dengang,” siger han til Wall Street Journal.

Han siger til avisen, at sandheden nok er, at han ‘was barking up the wrong tree’ dengang - altså grundlæggende valgte en forkert tilgang til opgaven.

Sammenlagt bruger jordens befolkning 1.300 år om dagen på at skrive password, skriver avisen.

“Det er bare noget, der driver folk til vanvid, og de vælger ikke gode password, uanset hvad du gør,” siger William E. Burr i dag.

Du finder NIST Special Publication 800-63 her.

Læs også:

Opråb fra kendt softwareudvikler: Drop de håbløse krav til adgangskoder - giver ingen mening længere

Her er de 25 mest populære adgangskoder: Dem må du aldrig vælge

Alt for ofte hedder adgangskoden "Qwerty12345": Her er syv skridt til langt bedre adgangskoder

Danskerne er de dårligste i Europa til password: Sådan får du en sikker adgangskode






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Computerworld
Live fra Retten i Glostrup (afsluttet): Retten vurderer: Må Computerworld fortsætte liveblog eller ej?
Live fra Retten i Glostrup: Vi er tilbage i retten til Atea-sagens tredjesidste dag inden jul. Følg med i sagen her live og hør om, hvorvidt en rejse til USA var ren ferie på skatteydernes penge eller ej.
CIO
Efter masser af luksusbilag i Atea-bestikkelsesretssagen: Tiltalte it-topfolk fastholder uskyld - vil frifindes
Efter 18 retsdage med timelange afhøringer af de tiltalte og tonsvis af bilag står sagen stadig åben. "Hvis der er kommet noget frem her under sagen, så er det noget, der taler for vores påstand om frifindelse," mener forsvarer Michael Skjødt.
Comon
Ny topmobilprocessor afsløret: Her er de fire ting, du skal vide om Snapdragon 845
Qualcomm har præsenteret sin Snapdragon 845-chipsæt, som vil være at finde i mange af næste års bedste Android-telefoner. Her er alt, hvad du skal vide om chippen
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Er du klar til EU´s nye persondataforordning? ... her er de gode råd om, hvordan du bedst griber det an
Den nye persondataforordning, der træder i kraft 25. maj 2018, har ganske stor indflydelse på den måde, som mange virksomheder driver forretning på. Hvordan håndterer og beskytter virksomheden kundernes personlige data, så alle kunders valg bliver respekteret og beskyttet? Den nye forordning gælder uanset hvor virksomheden sender data til, uanset hvor data lagres, og uanset hvordan data håndteres. Læs dette whitepaper og få hjælp til at forberede virksomheden på den nye persondataforordning (GDPR). Få også et overblik over persondataforordningen og alle de nødvendige svar til at komme igang med processen.