Hvad siger du til et password på 64 tegn?

Klumme: Password er stadig et svagt led i it-sikkerheden, og vi har brug for at nytænke de nuværende anbefalinger. Der skal stilles flere krav til tjenesteudbyderen og færre krav til brugeren. Her er nogle ideer til, hvordan fremtidens adgangskode skal udformes.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

En gammel vittighed siger, at du skal behandle dine adgangskoder, som du behandler dine underbukser.

Udstil dem ikke offentligt, skift dem ofte og del ikke med andre.

Og selv om det er sjovt, så har det faktisk givet ret god mening indtil videre.

Men vi er nødt til at gøre op med dårlige adgangskoder, der anvendes på tværs af tjenester, for det er et alvorligt og meget konstant sikkerhedsproblem.

I Rådet for Digital sikkerhed arbejder vi på, at udforme anbefalingerne og kommer med retningslinjer på området senere på året.

Indtil da vil jeg gerne lufte tendenserne og mine egne holdninger, for der er tale om et paradigmeskifte.

Lange adgangskoder = høj sikkerhed
Ansvaret for et godt password har hidtil ligget hos brugeren, men den praksis ser jeg gerne ændre sig i retning af, at tjenesteudbyderen drages mere ind i billedet.

Længden af dit password kommer i fremtiden til at betyde mere end store bogstaver, tal eller specialtegn, som prioriteres højt i dag.

Med den computerkraft, der er til rådighed gennem de kriminelles botnet, kan de korte adgangskoder hurtigt knækkes, uanset om der er brugt store eller små bogstaver.

Men i takt med at længden på din adgangskode øges, øges de kriminelles regne-tider også markant, hvilket giver bedre sikkerhed.

12 til 64 tegn
Kravet om komplekse passwords, regelmæssig udskiftning og sikring har faktisk vist sig ikke at have den ønskede effekt, hvilket kræver nye anbefalinger, der gør op med den nuværende best practice.

Et nyt krav til tjenesteudbyderen kan være, at der er regler for længden på et password.

Min holdning er mindst 12 (men gerne 20 tegn) og måske helt op til 64 tegn, hvis der er strenge sikkerhedskrav.

Hvis du bruger genkendelige ord eller sætninger i din adgangskode, kan det åbne for de såkaldte dictionary attacks, men benyttes eksempelvis en password manager til at skabe adgangskoderne, så udelukkes denne type angreb også.

Anbefalingerne siger til gengæld, at der ikke skal være krav om specialtegn, tal eller andet og vi kan også droppe krav om udskiftning af adgangskoder, eksempelvis hver tredje måned.

På den måde skal brugeren ikke huske nye/tildelte adgangskoder, men kan selv finde en kode, der kan huskes, og som IKKE behøver at blive skrevet ned på en gul lap, der klistres fast på skærmen.

Tjenesteudbyder skal sørge for, at der kun er et begrænset antal login-forsøg til rådighed og i øvrigt droppe usikre sikkerhedsspørgsmål som ”Hvad hedder din mor”. På den måde undgår man kompromitteringer ad den vej.

Ligeledes bør en tjeneste altid bede sine brugere om at skifte password, hvis der er den mindste mistanke om kompromittering af password-databasen.

Adgangskoder må ikke genbruges
Brugeren har selvfølgelig også et ansvar, og et helt afgørende krav er, at adgangskoder ikke genbruges på tværs af tjenester.

Derved undgår du en kaskade-effekt, hvor et mistet password rammer bredt i dit digitale liv. Desuden bør det være en klar anbefaling, at to-faktorsikkerhed altid anvendes, hvis der er mulighed for det.

Vi bør nok også se på brugen af login-tjenester, hvor Facebook eksempelvis anvendes som adgang til andre tjenester. Ulempen er, at man bliver afhængig af de sikkerhedsniveau, som disse tjenester tilbyder.

Det skal være nemt

Jeg er bevidst om, at der kan være mange holdninger til, hvordan man skal rådgive om adgangskoder, men min vurdering er, at det skal være så simpelt som mulig for brugeren. Derved får vi det højeste niveau af it-sikkerhed.

En simplificering af password-anbefalingerne er da heller ikke kun et dansk fænomen, men bygger på internationale retningslinjer som eksempelvis i den nyeste NIST-standard og retningslinjer hos de britiske myndigheder, som du kan finde her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
IBM siger farvel til Lotus Notes: Her er historien om systemet, der var elsket af konsulenter, hadet af slutbrugere - og en vigtig del af Stein Bagger-sagen
IBM's milliardsalg af Notes kan blive enden på eventyret om et af historiens mest succesfulde stykker enterprise-software. Gennem mere end 30 år har Notes været elsket af it-folk og konsulenter, hadet af frustrerede slutbrugere og spillet en birolle i Stein Baggers spektakulære svindel.
Computerworld
Gratis wifi på vej i 15 danske byer: Disse danske byer bliver del af europæisk wifi-initiativ
Femten danske byer er blevet udvalgt til at deltage i et EU-initiativ, der betyder, at borger og turister i byerne i løbet af de kommende år vil få adgang til gratis wifi.
CIO
Tag med på Computerworlds store lederkonference og mød de danske top-CIO'er, som bygger de nye it-afdelinger
Anvendelsen af digital teknologi og organiseringen af it-afdelinger er under radikal transformation. På konferencen Digitaliseringsledelse 2.0 kan du møde de CIO'er fra Bankdata, Adform og Rockwool, som står i spidsen for teknologi-adoptionen.
Job & Karriere
Efter blodrødt regnskab: Nu fyrer Atea 20 medarbejdere i Danmark
Atea fyrer nu 20 medarbejdere. Det sker som en direkte konsekvens af, at den danske forretning er under pres, oplyser selskabets direktør.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.