Hvad siger du til et password på 64 tegn?

Klumme: Password er stadig et svagt led i it-sikkerheden, og vi har brug for at nytænke de nuværende anbefalinger. Der skal stilles flere krav til tjenesteudbyderen og færre krav til brugeren. Her er nogle ideer til, hvordan fremtidens adgangskode skal udformes.

Artikel top billede

(Foto: PC World)

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

En gammel vittighed siger, at du skal behandle dine adgangskoder, som du behandler dine underbukser.

Udstil dem ikke offentligt, skift dem ofte og del ikke med andre.

Og selv om det er sjovt, så har det faktisk givet ret god mening indtil videre.

Men vi er nødt til at gøre op med dårlige adgangskoder, der anvendes på tværs af tjenester, for det er et alvorligt og meget konstant sikkerhedsproblem.

I Rådet for Digital sikkerhed arbejder vi på, at udforme anbefalingerne og kommer med retningslinjer på området senere på året.

Indtil da vil jeg gerne lufte tendenserne og mine egne holdninger, for der er tale om et paradigmeskifte.

Lange adgangskoder = høj sikkerhed

Ansvaret for et godt password har hidtil ligget hos brugeren, men den praksis ser jeg gerne ændre sig i retning af, at tjenesteudbyderen drages mere ind i billedet.

Længden af dit password kommer i fremtiden til at betyde mere end store bogstaver, tal eller specialtegn, som prioriteres højt i dag.

Med den computerkraft, der er til rådighed gennem de kriminelles botnet, kan de korte adgangskoder hurtigt knækkes, uanset om der er brugt store eller små bogstaver.

Men i takt med at længden på din adgangskode øges, øges de kriminelles regne-tider også markant, hvilket giver bedre sikkerhed.

12 til 64 tegn

Kravet om komplekse passwords, regelmæssig udskiftning og sikring har faktisk vist sig ikke at have den ønskede effekt, hvilket kræver nye anbefalinger, der gør op med den nuværende best practice.

Et nyt krav til tjenesteudbyderen kan være, at der er regler for længden på et password.

Min holdning er mindst 12 (men gerne 20 tegn) og måske helt op til 64 tegn, hvis der er strenge sikkerhedskrav.

Hvis du bruger genkendelige ord eller sætninger i din adgangskode, kan det åbne for de såkaldte dictionary attacks, men benyttes eksempelvis en password manager til at skabe adgangskoderne, så udelukkes denne type angreb også.

Anbefalingerne siger til gengæld, at der ikke skal være krav om specialtegn, tal eller andet og vi kan også droppe krav om udskiftning af adgangskoder, eksempelvis hver tredje måned.

På den måde skal brugeren ikke huske nye/tildelte adgangskoder, men kan selv finde en kode, der kan huskes, og som IKKE behøver at blive skrevet ned på en gul lap, der klistres fast på skærmen.

Tjenesteudbyder skal sørge for, at der kun er et begrænset antal login-forsøg til rådighed og i øvrigt droppe usikre sikkerhedsspørgsmål som ”Hvad hedder din mor”. På den måde undgår man kompromitteringer ad den vej.

Ligeledes bør en tjeneste altid bede sine brugere om at skifte password, hvis der er den mindste mistanke om kompromittering af password-databasen.

Adgangskoder må ikke genbruges

Brugeren har selvfølgelig også et ansvar, og et helt afgørende krav er, at adgangskoder ikke genbruges på tværs af tjenester.

Derved undgår du en kaskade-effekt, hvor et mistet password rammer bredt i dit digitale liv. Desuden bør det være en klar anbefaling, at to-faktorsikkerhed altid anvendes, hvis der er mulighed for det.

Vi bør nok også se på brugen af login-tjenester, hvor Facebook eksempelvis anvendes som adgang til andre tjenester. Ulempen er, at man bliver afhængig af de sikkerhedsniveau, som disse tjenester tilbyder.

Det skal være nemt

Jeg er bevidst om, at der kan være mange holdninger til, hvordan man skal rådgive om adgangskoder, men min vurdering er, at det skal være så simpelt som mulig for brugeren. Derved får vi det højeste niveau af it-sikkerhed.

En simplificering af password-anbefalingerne er da heller ikke kun et dansk fænomen, men bygger på internationale retningslinjer som eksempelvis i den nyeste NIST-standard og retningslinjer hos de britiske myndigheder, som du kan finde her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Netcompany A/S

    Network Engineer

    Københavnsområdet

    Netcompany A/S

    Data Management Consultant

    Københavnsområdet

    KMD A/S

    Senior Java Developer

    Københavnsområdet

    Navnenyt fra it-Danmark

    WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

    Tim Meicker

    WITRICS A/S

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S