Hvad siger du til et password på 64 tegn?

Klumme: Password er stadig et svagt led i it-sikkerheden, og vi har brug for at nytænke de nuværende anbefalinger. Der skal stilles flere krav til tjenesteudbyderen og færre krav til brugeren. Her er nogle ideer til, hvordan fremtidens adgangskode skal udformes.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

En gammel vittighed siger, at du skal behandle dine adgangskoder, som du behandler dine underbukser.

Udstil dem ikke offentligt, skift dem ofte og del ikke med andre.

Og selv om det er sjovt, så har det faktisk givet ret god mening indtil videre.

Men vi er nødt til at gøre op med dårlige adgangskoder, der anvendes på tværs af tjenester, for det er et alvorligt og meget konstant sikkerhedsproblem.

I Rådet for Digital sikkerhed arbejder vi på, at udforme anbefalingerne og kommer med retningslinjer på området senere på året.

Indtil da vil jeg gerne lufte tendenserne og mine egne holdninger, for der er tale om et paradigmeskifte.

Lange adgangskoder = høj sikkerhed
Ansvaret for et godt password har hidtil ligget hos brugeren, men den praksis ser jeg gerne ændre sig i retning af, at tjenesteudbyderen drages mere ind i billedet.

Længden af dit password kommer i fremtiden til at betyde mere end store bogstaver, tal eller specialtegn, som prioriteres højt i dag.

Med den computerkraft, der er til rådighed gennem de kriminelles botnet, kan de korte adgangskoder hurtigt knækkes, uanset om der er brugt store eller små bogstaver.

Men i takt med at længden på din adgangskode øges, øges de kriminelles regne-tider også markant, hvilket giver bedre sikkerhed.

12 til 64 tegn
Kravet om komplekse passwords, regelmæssig udskiftning og sikring har faktisk vist sig ikke at have den ønskede effekt, hvilket kræver nye anbefalinger, der gør op med den nuværende best practice.

Et nyt krav til tjenesteudbyderen kan være, at der er regler for længden på et password.

Min holdning er mindst 12 (men gerne 20 tegn) og måske helt op til 64 tegn, hvis der er strenge sikkerhedskrav.

Hvis du bruger genkendelige ord eller sætninger i din adgangskode, kan det åbne for de såkaldte dictionary attacks, men benyttes eksempelvis en password manager til at skabe adgangskoderne, så udelukkes denne type angreb også.

Anbefalingerne siger til gengæld, at der ikke skal være krav om specialtegn, tal eller andet og vi kan også droppe krav om udskiftning af adgangskoder, eksempelvis hver tredje måned.

På den måde skal brugeren ikke huske nye/tildelte adgangskoder, men kan selv finde en kode, der kan huskes, og som IKKE behøver at blive skrevet ned på en gul lap, der klistres fast på skærmen.

Tjenesteudbyder skal sørge for, at der kun er et begrænset antal login-forsøg til rådighed og i øvrigt droppe usikre sikkerhedsspørgsmål som ”Hvad hedder din mor”. På den måde undgår man kompromitteringer ad den vej.

Ligeledes bør en tjeneste altid bede sine brugere om at skifte password, hvis der er den mindste mistanke om kompromittering af password-databasen.

Adgangskoder må ikke genbruges
Brugeren har selvfølgelig også et ansvar, og et helt afgørende krav er, at adgangskoder ikke genbruges på tværs af tjenester.

Derved undgår du en kaskade-effekt, hvor et mistet password rammer bredt i dit digitale liv. Desuden bør det være en klar anbefaling, at to-faktorsikkerhed altid anvendes, hvis der er mulighed for det.

Vi bør nok også se på brugen af login-tjenester, hvor Facebook eksempelvis anvendes som adgang til andre tjenester. Ulempen er, at man bliver afhængig af de sikkerhedsniveau, som disse tjenester tilbyder.

Det skal være nemt

Jeg er bevidst om, at der kan være mange holdninger til, hvordan man skal rådgive om adgangskoder, men min vurdering er, at det skal være så simpelt som mulig for brugeren. Derved får vi det højeste niveau af it-sikkerhed.

En simplificering af password-anbefalingerne er da heller ikke kun et dansk fænomen, men bygger på internationale retningslinjer som eksempelvis i den nyeste NIST-standard og retningslinjer hos de britiske myndigheder, som du kan finde her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Frank Rasmussen efter beskyldninger om data-tyveri fra rivaliserende selskab: "Jeg synes ikke, at det er så enkelt"
Interview: Frank Rasmussen vil ikke finde sig i at blive beskyldt for tyveri af Saphe. Telemillionærens nye selskab Hopper har aldrig fået en henvendelse af konkurrenten, så nu kontakter Hoppers jurister Saphe. "Vi giver ikke op, og vi kommer heller ikke til at tabe," lyder det fra Frank Rasmussen
Computerworld
Windows 10's katastrofe-update: Derfor begyndte den pludseligt at slette brugernes filer
Den seneste Windows 10 opdatering kunne i værste fald slette vigtige filer. Microsoft sætter tal på hvor mange der er berørt af den katastrofale fejl.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
En ny tilgang til Cybersecurity gør din forretning stærkere
Mange virksomheder har en forkert tilgang til Cybersecurity, hvor hvert nyt angreb udløser et køb af den nyeste software, på trods af at der hverken er tid eller ressourcer til at sætte sig ind i de nye systemer. Denne strategi er ikke tidssvarende og holdbar i længden og i dette Whitepaper stiller vi skarpt på hvordan I griber tingene rigtigt an.