Hvad siger du til et password på 64 tegn?

Klumme: Password er stadig et svagt led i it-sikkerheden, og vi har brug for at nytænke de nuværende anbefalinger. Der skal stilles flere krav til tjenesteudbyderen og færre krav til brugeren. Her er nogle ideer til, hvordan fremtidens adgangskode skal udformes.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

En gammel vittighed siger, at du skal behandle dine adgangskoder, som du behandler dine underbukser.

Udstil dem ikke offentligt, skift dem ofte og del ikke med andre.

Og selv om det er sjovt, så har det faktisk givet ret god mening indtil videre.

Men vi er nødt til at gøre op med dårlige adgangskoder, der anvendes på tværs af tjenester, for det er et alvorligt og meget konstant sikkerhedsproblem.

I Rådet for Digital sikkerhed arbejder vi på, at udforme anbefalingerne og kommer med retningslinjer på området senere på året.

Indtil da vil jeg gerne lufte tendenserne og mine egne holdninger, for der er tale om et paradigmeskifte.

Lange adgangskoder = høj sikkerhed
Ansvaret for et godt password har hidtil ligget hos brugeren, men den praksis ser jeg gerne ændre sig i retning af, at tjenesteudbyderen drages mere ind i billedet.

Længden af dit password kommer i fremtiden til at betyde mere end store bogstaver, tal eller specialtegn, som prioriteres højt i dag.

Med den computerkraft, der er til rådighed gennem de kriminelles botnet, kan de korte adgangskoder hurtigt knækkes, uanset om der er brugt store eller små bogstaver.

Men i takt med at længden på din adgangskode øges, øges de kriminelles regne-tider også markant, hvilket giver bedre sikkerhed.

12 til 64 tegn
Kravet om komplekse passwords, regelmæssig udskiftning og sikring har faktisk vist sig ikke at have den ønskede effekt, hvilket kræver nye anbefalinger, der gør op med den nuværende best practice.

Et nyt krav til tjenesteudbyderen kan være, at der er regler for længden på et password.

Min holdning er mindst 12 (men gerne 20 tegn) og måske helt op til 64 tegn, hvis der er strenge sikkerhedskrav.

Hvis du bruger genkendelige ord eller sætninger i din adgangskode, kan det åbne for de såkaldte dictionary attacks, men benyttes eksempelvis en password manager til at skabe adgangskoderne, så udelukkes denne type angreb også.

Anbefalingerne siger til gengæld, at der ikke skal være krav om specialtegn, tal eller andet og vi kan også droppe krav om udskiftning af adgangskoder, eksempelvis hver tredje måned.

På den måde skal brugeren ikke huske nye/tildelte adgangskoder, men kan selv finde en kode, der kan huskes, og som IKKE behøver at blive skrevet ned på en gul lap, der klistres fast på skærmen.

Tjenesteudbyder skal sørge for, at der kun er et begrænset antal login-forsøg til rådighed og i øvrigt droppe usikre sikkerhedsspørgsmål som ”Hvad hedder din mor”. På den måde undgår man kompromitteringer ad den vej.

Ligeledes bør en tjeneste altid bede sine brugere om at skifte password, hvis der er den mindste mistanke om kompromittering af password-databasen.

Adgangskoder må ikke genbruges
Brugeren har selvfølgelig også et ansvar, og et helt afgørende krav er, at adgangskoder ikke genbruges på tværs af tjenester.

Derved undgår du en kaskade-effekt, hvor et mistet password rammer bredt i dit digitale liv. Desuden bør det være en klar anbefaling, at to-faktorsikkerhed altid anvendes, hvis der er mulighed for det.

Vi bør nok også se på brugen af login-tjenester, hvor Facebook eksempelvis anvendes som adgang til andre tjenester. Ulempen er, at man bliver afhængig af de sikkerhedsniveau, som disse tjenester tilbyder.

Det skal være nemt

Jeg er bevidst om, at der kan være mange holdninger til, hvordan man skal rådgive om adgangskoder, men min vurdering er, at det skal være så simpelt som mulig for brugeren. Derved får vi det højeste niveau af it-sikkerhed.

En simplificering af password-anbefalingerne er da heller ikke kun et dansk fænomen, men bygger på internationale retningslinjer som eksempelvis i den nyeste NIST-standard og retningslinjer hos de britiske myndigheder, som du kan finde her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
KMD tippede Tech Mahindra om opsigelse af tryghedsaftaler
KMD gjorde Tech Mahindra opmærksom på, at selskabet ville opsige sine tryghedsaftaler i foråret. Få uger senere fulgte Tech Mahindra trop og lavede samme manøvre. "Tech Mahindra er en stor samarbejdspartner for KMD, og vi gav dem en orientering om, at KMD påtænkte at opsige tryghedsaftalerne. På det tidspunkt var vores egne medarbejdere også orienteret," lyder det fra KMD.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Amazon kan komme til at lide samme skæbne som Uber i Danmark - fagbevægelse ruster sig til kamp
Den danske fagbevægelse står klar til at give Amazon en varm velkomst på det danske marked. Spørgsmålet er derfor om et stærkt samarbejde mellem på den side detailbranchen og internethandlen og på den anden side fagbevægelsen vil kunne skabe et bolværk mod Amazons indtog, eller om Amazon har lært af Uber og Ryanairs fejl?
White paper
Gør som millioner af andre brugere i hele verden - bind hele dit forretningssystem sammen med Microsoft Dynamics 365 Business Central
Alle kender efterhånden til ”digital transformation”, og uanset hvor langt din virksomhed er i processen, så kan I med det rette forretningssystem, tage de nødvendige skridt og løfte det hele op i skyen. Herigennem opnår I højere effektivitet gennem automatisering og enklere arbejdsgange for jeres medarbejdere. Det er nemt og hurtigt at komme i gang, og løsningen kan tilpasses i takt med at jeres forretningsbehov ændrer sig. Bliv klogere på Microsoft Dynamics 365 Business Central her.