Blot to promille af passwords opfylder NASA-krav

Ifølge dette dokument:
www.hq.nasa.gov/itcd/documents/faq_hq_domain.doc
er kravene som følger:

Your new password must comply with the following Federal Desktop Core Configuration (FDCC) requirements:

• The password must have a minimum of 12 characters.
• The password must contain at least one character from at least three of the four following sets of characters:
  
  • Uppercase Letters (A, B, C, etc.)
  • Lowercase Letters (a, b, c, etc.),
  • Special Characters (~, !, @, #, $, etc.)
  • Numbers (1, 2, 3, etc.).
• You may not reuse any of your previous 24 passwords.

You may not reuse any of your previous 24 passwords.

Fedt.

Spøjst at der tilsyneladende ikke er noget krav om at nye passwords ikke må ligne tidligere passwords, men kun at de gamle ikke må genbruges direkte. Der skal nok være en del, der ender med at bruge den gode gamle tilgang med at tilføje et løbenummer til det sædvanlige password.

Fredag22Januar

Det er nemt at huske hvornår man sidst skiftede det.

Allerede da jeg i start 90'erne arbejdede på et offentligt kontor som sys-admin stod vi overfor dette problem med brugerne, som vi, via systemet "tvang" til at bruge mindst 8 tegn i deres passwords, og at de ikke kunne genbruge samme password to gange.

At kravene til passwords er så høje at man er nød til at bruge PostIt notes til at huske dem... hvordan er det lige med til at øge sikkerheden?

... hvor var det nu lige jeg lagde min PostIt... den var her jo lige før...

• Bjarne, som benytter elendige passwords... til gengæld kan jeg huske dem! :-)

Er det ikke ligemeget hvor længe man ikke må genbruge dem?
Det angiver bare hvor mange cifre man sætter bagefter, løbende fra 01 naturligvis. :-)

Men det er til gengæld smart at stramme skruen rigtigt meget mht. kompleksitet, for så kan man altid finde en postit under tastaturet hos alle brugere. (hvis man skulle mangle et password)

Jeg tror det er for svært at forklare en typisk bruger hvor forskellige adgangskoder skal være. - Og vi vil jo helst ikke kunne tjekke det (alt for let).

Min hovedanke ved de adgangskoderegler jeg i tidens løb har været udsat for er at de ikke tager hensyn til brugsomstændighederne. - En konto der kan tilgås fra hele internettet skal benyttes bedre end én der kun kan tilgås gennem en kontrolleret fysisk grænseflade. Og en vigtig konto skal beskyttes bedre end en uvæsentlig konto (hvis man har den slags).

Er små sedler i øvrigt ikke bedre end at hele verden kan tilgå en konto? Det ideelle vil vel være en adgangskodebeskyttet "lille seddel", så adgangskoderne ikke er på nettet, men heller ikke alt for let tilgængelige for de fysiske omgivelser.

Selvom sammenhængen jo er trist nok, så er jeg nu alligevel ganske begejstret for listen, ikke blot er det en enorm mængde data, men eftersom listen er stjålet rub og stub indeholder den både de sikre og usikre kodeord i et normalt forhold.

Jeg overvejer at bruge den til at lave en vægtet ordbog til et styrkemålingsprogram som kan bruges i stedet for de typiske krav.

Det er ikke svært at få fat på listen, her er fx en torrent: http://isohunt.com/torrent_details/146989493/9248CA33355D8395C47112CDABF...

Det kunne være meget godt med en lille betragtning omkring hvad disse passwords har været brugt til. Artiklen nævner at Rockyou lave apps til Facebook og lign. men mangler at drage konklusionen derfra: folk er fuldstændig ligeglade med adgang til den slags apps, for de mister ingenting ved at deres konto bliver hacked.
Sagt på en anden måde: det er på ingen måde muligt at sige noget generelt om passwords brugt til online banking ud fra de passwords, der her er kommet frem, for det er umuligt at vide noget om hvor stor vægt folk har lagt på at lave et ordentligt password. Dermed bliver det meget interessant at se på hvilke passwords, der er blevet benyttet, men primært i forhold til at undgå samme problem for lignende tjenester.

Og så kan man jo altid, som Jacob er inde på, bruge listen til at blackliste de værste passwords. "Nej, du kan ikke bruge 1234567890 som password. Nej, du kan heller ikke bruge password som password."

Hvormange har små sedler på skærmen?