Søg

Hvad siger du til et password på 64 tegn?

Klumme: Password er stadig et svagt led i it-sikkerheden, og vi har brug for at nytænke de nuværende anbefalinger. Der skal stilles flere krav til tjenesteudbyderen og færre krav til brugeren. Her er nogle ideer til, hvordan fremtidens adgangskode skal udformes.

30. juli 2018 kl. 15.52
Artikel top billede

(Foto: PC World)

Henrik Larsen Henrik Larsen Chef for DKCERT

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

En gammel vittighed siger, at du skal behandle dine adgangskoder, som du behandler dine underbukser.

Udstil dem ikke offentligt, skift dem ofte og del ikke med andre.

Og selv om det er sjovt, så har det faktisk givet ret god mening indtil videre.

Men vi er nødt til at gøre op med dårlige adgangskoder, der anvendes på tværs af tjenester, for det er et alvorligt og meget konstant sikkerhedsproblem.

I Rådet for Digital sikkerhed arbejder vi på, at udforme anbefalingerne og kommer med retningslinjer på området senere på året.

Indtil da vil jeg gerne lufte tendenserne og mine egne holdninger, for der er tale om et paradigmeskifte.

Lange adgangskoder = høj sikkerhed

Ansvaret for et godt password har hidtil ligget hos brugeren, men den praksis ser jeg gerne ændre sig i retning af, at tjenesteudbyderen drages mere ind i billedet.

Længden af dit password kommer i fremtiden til at betyde mere end store bogstaver, tal eller specialtegn, som prioriteres højt i dag.

Med den computerkraft, der er til rådighed gennem de kriminelles botnet, kan de korte adgangskoder hurtigt knækkes, uanset om der er brugt store eller små bogstaver.

Men i takt med at længden på din adgangskode øges, øges de kriminelles regne-tider også markant, hvilket giver bedre sikkerhed.

12 til 64 tegn

Kravet om komplekse passwords, regelmæssig udskiftning og sikring har faktisk vist sig ikke at have den ønskede effekt, hvilket kræver nye anbefalinger, der gør op med den nuværende best practice.

Et nyt krav til tjenesteudbyderen kan være, at der er regler for længden på et password.

Min holdning er mindst 12 (men gerne 20 tegn) og måske helt op til 64 tegn, hvis der er strenge sikkerhedskrav.

Hvis du bruger genkendelige ord eller sætninger i din adgangskode, kan det åbne for de såkaldte dictionary attacks, men benyttes eksempelvis en password manager til at skabe adgangskoderne, så udelukkes denne type angreb også.

Anbefalingerne siger til gengæld, at der ikke skal være krav om specialtegn, tal eller andet og vi kan også droppe krav om udskiftning af adgangskoder, eksempelvis hver tredje måned.

På den måde skal brugeren ikke huske nye/tildelte adgangskoder, men kan selv finde en kode, der kan huskes, og som IKKE behøver at blive skrevet ned på en gul lap, der klistres fast på skærmen.

Tjenesteudbyder skal sørge for, at der kun er et begrænset antal login-forsøg til rådighed og i øvrigt droppe usikre sikkerhedsspørgsmål som ”Hvad hedder din mor”. På den måde undgår man kompromitteringer ad den vej.

Ligeledes bør en tjeneste altid bede sine brugere om at skifte password, hvis der er den mindste mistanke om kompromittering af password-databasen.

Adgangskoder må ikke genbruges

Brugeren har selvfølgelig også et ansvar, og et helt afgørende krav er, at adgangskoder ikke genbruges på tværs af tjenester.

Derved undgår du en kaskade-effekt, hvor et mistet password rammer bredt i dit digitale liv. Desuden bør det være en klar anbefaling, at to-faktorsikkerhed altid anvendes, hvis der er mulighed for det.

Vi bør nok også se på brugen af login-tjenester, hvor Facebook eksempelvis anvendes som adgang til andre tjenester. Ulempen er, at man bliver afhængig af de sikkerhedsniveau, som disse tjenester tilbyder.

Det skal være nemt

Jeg er bevidst om, at der kan være mange holdninger til, hvordan man skal rådgive om adgangskoder, men min vurdering er, at det skal være så simpelt som mulig for brugeren. Derved får vi det højeste niveau af it-sikkerhed.

En simplificering af password-anbefalingerne er da heller ikke kun et dansk fænomen, men bygger på internationale retningslinjer som eksempelvis i den nyeste NIST-standard og retningslinjer hos de britiske myndigheder, som du kan finde her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Identity er omdrejningspunkt for AI, applikationer og angreb og kræver klar governance

    Annonceindlæg fra Opentext

    Identity er omdrejningspunkt for AI, applikationer og angreb og kræver klar governance

    Det gælder om at reducere risici – fra medarbejdere over privilegerede brugere til maskinidentiteter.

    Danoffice IT

    Netværksarkitekt med kundeflair

    Midtjylland

    Netcompany A/S

    IT Consultant

    Nordjylland

    TV2

    Identity & Access Management Automation Engineer til IAM-teamet

    Fyn

    TV2

    Data Engineer til TV 2s Dataplatform

    Fyn

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    55,7° North (a Beautiful Things company) har pr. 2. februar 2026 ansat Philip Jacobi Zahle, 53 år, som Partner & CSMO. Han skal især beskæftige sig med Ansvar for Salg, Marketing og Brandudvikling i Norden, som han tidligere har gjort med GoPro, Skullcandy og Insta360 m.fl. Han kommer fra en stilling som Marketing & Branding Manager hos Boston Group A/S. Han har tidligere beskæftiget sig med distribution og brand building gennem 26 år og er kendt fra mærker som GoPro, Skullcandy og Insta360. Nyt job

    Philip Jacobi Zahle

    55,7° North (a Beautiful Things company)

    Renewtech ApS har pr. 1. marts 2026 ansat Emil Holme Fisker som Customer Service Specialist. Han skal især beskæftige sig med at levere høj kvalitets kundeservice og hjælpe Renewtechs kunder med at få de rette løsninger til deres behov. Han kommer fra en stilling som Key Account Manager hos Camro A/S. Han er uddannet som salgselev hos Camro A/S. Han har tidligere beskæftiget sig med at udvikle gode kunderelationer, opsøgende salg og udvikling af salgsaktiviteter. Nyt job

    Emil Holme Fisker

    Renewtech ApS

    Immeo har pr. 1. marts 2026 ansat Theo Lyngaa Hansen som Consultant. Han kommer fra en stilling som Data Manager hos IDA. Han er uddannet i Business Administration & Data Science. Nyt job

    Theo Lyngaa Hansen

    Immeo

    netIP har pr. 20. januar 2026 ansat Mikkel Lykke Petersen som Datateknikerelev ved netIP Thisted/Aalborg. Han er uddannet håndværker og har arbejdet som både montør, mekaniker, tømrer og tagdækker. Nyt job

    Mikkel Lykke Petersen

    netIP

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Test: Denne mikro-pc er langt mere slagkraftig end den ser ud
    2 Danske Microsoft-eksperter om Microsofts nye standard-indstilling i M365: Derfor bør du slå det fra
    3 Nørgaard: Jeg er skuffet over Googles Gemini - og jeg har min egen forklaring på, hvorfor det er gået galt for Google
    4 Først blev Teams smidt på porten – nu vil Frankrig også af med Windows
    5 Hjemmearbejde er supervigtigt for danske it-folk, men ny tendens kan få folk til at sige op, lyder advarslen
    6 Dansk AI-ekspert med ildevarslende spådom: "Vi er alle sammen på vej hen imod en stor sort mur, og vi aner ikke, hvad der findes på den anden side"
    7 Test: En ret vild oplevelse, som kan få dig til at overveje om ungerne virkelig har brug for den børneopsparing
    8 TDC-selskabet Nuuday skifter navn: Det skal selskabet nu hedde

    Se seneste uge