Søg

Slut med store og små bogstaver og mystiske tegn: Manden bag de mest anvendte - og irriterende - password-regler tog fejl: "Jeg fortryder meget af det, jeg anbefalede dengang"

Manden, der fandt på, at gode password skal indeholde mærkelige sammensætninger, tal, store bogstaver og tegn, fortryder sine anbefalinger. "Jeg tog fejl," siger han. Tr0ub4dor&r er ikke et godt password. Her er de nye anbefalinger.

10. august 2017 kl. 10.50
Artikel top billede

(Foto: PC World)

Dan Jensen Dan Jensen Redaktionschef

De fleste it-brugere har prøvet at blive bedt om at forny deres password med krav om, at det nye password skal indeholde mindst otte tegn, både store og små bogstaver samt tal.

Selv om de muligvis er svære for uvedkommende at gætte, kan de mystiske password også hurtigt blive svære at huske for den retmæssige ejermand.

Kravet om de obskure password-formuleringer har gennem årene irriteret millioner af mennesker.

Og nu fortryder manden, der oprindeligt anbefalede, at man indførte krav om de komplicerede password på alverdens tjenester og websites.

Han hedder William E. Burr, og han stod i 2003, da han arbejdede i amerikanske National Institute of Standards and Technology bag en kendt udgivelse om password-management (NIST Special Publication 800-63).

Her anbefalede han, at man beskyttede konti og lignende med mærkværdige ordsammensætninger skrevet med varierende bogstav-typer, store bogstaver og tal. Og at passwordene bliver ændret jævnligt.

En manual

I USA blev udgivelsen hurtigt en slags manual til formuleringen af password-politik.

Men den holder ikke vand, lyder det nu fra William E. Burr, der er 72 år i dag.

“Jeg fortryder meget af det, som jeg anbefalede dengang,” siger han til Wall Street Journal.

Han anbefalede dengang eksempelvis , at man eksemplelvis skifter password hver tredje måned.

I dag siger han, at hyppigheden gør, at de fleste blot ændrer et enkelt tegn i deres password, hvilket betyder, at passwordet stadig er nemt at gætte.

Han siger også i dag, at det ikke gør passwordet mere sikkert eller sværere at gætte for en hacker eller en robot, at man anvender tal, store bogstaver, tegn eller lignende besværligheder.

National Institute of Standards and Technology udgav for en måneds tid siden en revideret udgave af Special Publication 800-63, hvor en en stor del af anbefalingerne er blevet ændret.

Skrevet næsten helt om

Arbejdet har taget mere end to år, selv om det oprindeligt var forventningen, at publikationen blot skulle have en let omskrivning.

Det er imidlertid endt med en næsten total omskrivning, skriver avisen.

National Institute of Standards and Technology har således helt fjernet anbefalingen om, at der skal indgå special-tegn i et password. Også anbefalingen om, at et password skal fornyes med korte intervaller er væk.

Reglerne har ikke hjulpet på it-sikkerheden - men har haft en negativ indvirkning på brugervenligheden, lyder det nu.

Istedet anbefaler National Institute of Standards and Technology nu, at man istedet for mystiske bogstav-sammensætninger anvender lange fraser, som er nemme at huske.

Det er nemlig tidligere blevet påvist, at hackere har sværere ved at knække et password, der består af fire sammensatte ord end et kortere password, der består af mærkelige bogstavsammensætninger som eksempelvi Fl+IO&.

Dette skyldes, at hackerrobotter og lignende har sværere ved at gætte koder med mange tegn end få tegn - uanset hvilken beskaffenhed de har.

Således skulle et password som “Rigtigbilopløsninghurtigvidenskab’ være mange gange sikrere end William E. Burrs oprindelige stjerneeksempel, Tr0ub4dor&r.

NIST anbefaler også, at man kun skifter password, hvis der er tegn på, at det gamle password er blevet misbrugt.

Havde ikke noget at bygge det på

William E. Burr siger i dag, at hans oprindelige anbefalinger ikke rigtigt var baseret på empiri, da der på dette tidspunkt ikke rigtigt fandtes noget.

Samtidig var han under tidspres og skulle finde på noget, siger han.

“Det var faktisk nok for kompliceret at forstå for mange mennesker dengang,” siger han til Wall Street Journal.

Han siger til avisen, at sandheden nok er, at han ‘was barking up the wrong tree’ dengang - altså grundlæggende valgte en forkert tilgang til opgaven.

Sammenlagt bruger jordens befolkning 1.300 år om dagen på at skrive password, skriver avisen.

“Det er bare noget, der driver folk til vanvid, og de vælger ikke gode password, uanset hvad du gør,” siger William E. Burr i dag.

Du finder NIST Special Publication 800-63 her.

Læs også:

Opråb fra kendt softwareudvikler: Drop de håbløse krav til adgangskoder - giver ingen mening længere

Her er de 25 mest populære adgangskoder: Dem må du aldrig vælge

Alt for ofte hedder adgangskoden "Qwerty12345": Her er syv skridt til langt bedre adgangskoder

Danskerne er de dårligste i Europa til password: Sådan får du en sikker adgangskode

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    CISO Challenges 2026 - København

    Sikkerhed | Klampenborg

    CISO Challenges 2026 - København

    Computerworld stiller skarpt på, hvordan du som CISO eller sikkerhedsansvarlig, kan leve op til alle krav om sikkerhed og risikostyring, gennem dialog og erfaringsudveksling. Gennem både korte oplæg og rundbordsdiskussioner, vil du blive klædt på...

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    Digital transformation | Hellerup

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

    Connected sikkerhed: Sådan samles netværk, drift og sikkerhed i én platform

    Sikkerhed | Online

    Connected sikkerhed: Sådan samles netværk, drift og sikkerhed i én platform

    Få indblik i, hvordan NaaS og SOC samler netværk og sikkerhed i én platform. Hør Semler Group dele erfaringer med hurtigere trusselsrespons, færre leverandører og mindre kompleks drift. Deltag og se, hvordan moderne sikkerhedsdrift skalerer i...

    Se alle vores events inden for it

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Applikationsarkitekt til Forsvaret nye Digitale Backbone

    Københavnsområdet

    Jyske Bank

    Engageret forretningsudvikler til Securities and Asset Management

    Midtjylland

    IT Forum Gruppen

    Senior Network Consultant / Fortinet Specialist

    Københavnsområdet

    TV2

    IT Asset Management Specialist

    Fyn

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år, som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 DJI’s nye Power 1000 kan redde ferien, festivalen eller bådturen – men kommer til kort, når det gælder overlevelse
    2 Nu kommer den: Om få dage lanceres Danmarks nye id-app AltID - det kommer det til at betyde for dig
    3 Engang var de glødende fjender: Nu trækker Microsoft en lang række kendte Linux-funktioner ind i hjertet af Windows
    4 Coop Bank afslører: Sådan vrister vi os fri af amerikansk tech - det er overraskende let og giver lavere udgifter
    5 Nørgaard: Jeg forudsiger, at virksomheder snart kommer til at betale mere for at bruge AI, end de betaler for alle andre licenser i dag
    6 Dansk sammentælling: Her er de største datacentre i Danmark - to af dem slår alle andre med flere længder
    7 Her er Danmarks bedste CIO - han vinder Årets CIO 2026
    8 Stort galleri: Se alle billederne fra kåringen af Årets CIO 2026

    Se seneste uge