Ny undersøgelse: Danskerne fravælger bevidst sikre adgangskoder

Den mest enkle måde at få folk til at bruge sikre koder er kompleksitetskontrol ved oprettelse/skift af koden. Min. 10 tegn + ordbogskontrol + idiotikontrol (alle ens, rækkefølge af tegn mv.).

Så mangler du bare at forhindre at de skriver kodeordet ned på en stor gul post-it til at sætte på skærmen.

Du skal huske den.
Jo simplere den er, jo nemmere er den at huske.

Den almene dansker vil gerne have en kode han kan huske. Det er kun IT-folk som os der værdsætter sikre kodeord.

Men, som Robin Sharp gætter, kun i diskussionsfora og lignende. Hvis der er penge eller vigtig data indblandet, så er det en anden snak.

Men jeg bryder mig generelt ikke om afvisning af kodeord, der ikke indeholder både store og små bogstaver, tal og specialtegn. Det bliver nemt bøvlet at skrive og svært at huske. Et par ekstra tegn giver flere bit end at kræve fire tegnklasser repræsenteret -- specielt når nogle af klasserne er ret små -- der er trods alt kun 10 foreskellige cifre.

Man skal selvfølgelig, som Maciej siger, undgå almindelige ord, men en ualmindelig sammensætning af to-tre almindelige ord bliver ikke fanget af ordbogsangreb (da der er for mange mulige kombinationer). Så kodeord som "TulipanFrakke" eller "PalmeSkuffe" skulle være sikre nok. Bedre end f.eks. "Hi1$ener", som er konstrueret ud fra de almindelige krav og råd: Otte tegn med tegn fra alle fire kategorier. Dette ville nemlig være sårbart overfor ordbogsangreb, da det ikke er svært at tilføje de mest almindelige bogstavsubstitutioner til et sådant.

I mine øjne er et problemerne at der ofte er tvungen skift af password hver tredje måned.

Tvungen skift er en god procedure for dem med dårlige passwords, men for dem rent faktisk har bruger stærke passwords opfordre virker det modsat. Det er nemt at lave en efterfølger til leif1234, men det der er simple måde at forøge um6eimeZ.

Jeg forestille mig at de fleste ville have bedre password hvis man fortalte dem vigtigeheden af et rigtigt password og forklarede dem at det de skulle vælge skulle vare i 5 år.

Personligt er jeg meget glad for pwgen, der generere passwords der kan udtales, men alligevel svære at brute-force.
Windows version: http://pwgen-win.sourceforge.net/
Linux version: http://sourceforge.net/projects/pwgen/files/

Adgangskoder er i sig selv en designfejl set fra behovet og brugeren; På samme måder som telefon numre. Mennesker er ikke gode til at huske eksakte data, slet ikke uden nogen indbyrdes relation.

En brugbar global Digital Signatur kunne løse det problem. Indtil da må vi nøjes med OpenID o.l.

Tvinges folk til at have sikre løsener, bliver det hurtigt til at folk skal huske en bunke forskellige, og det er altså ikke praktisk.

Jeg har da også et lille program på min iPhone, mSecure, til at gemme sådanne userid/passwd kombinationer mv. Åbning af programmet er naturligvis i sig selv beskyttet af løsen [lige som en iPhone kan sættes op så dén kræver løsen], men det reducerer jo lige pludselig sikkerheden på de »sikre« løsener.

Ganske vist ikke så meget som hvis de gemmes under glaspladen på en undtræks-skuffe på skrivebordet, for slet ikke at tale om gule notits-sedler på skærmen ...

NEJ - ureflekteret ville det være en farlig overkill, fordi du med i købet får alt det negative i form af gatekeepers, SSO etc. F.eks. er erstattte passwords med NemId er som at gå fra asken til ilden

Med den rigtige fremgangsmåde, afledte nøgle, må det da være at foretrække. Gatekeepers i form af thrusted third paties, er vel i sig selv ikke noget problem så længe der blot er konkurrence.

Et client-side SSO system, vil derimod kræve at en given platform implementere systemet for at kunne bruge det. X.509 certifikater er allerede en åben og i vid udstrækning, implementeret standard.

5s#r46aghFL
Hvor sikker er dette kodeord i forhold til min pin kode?
4321

Svaret er at ingen røver ønsker at prøve sig frem for at bryde koden. Man røber jo sig selv hvis man ikke rammer rigtigt i tredje forsøg.

Mennesker er ikke gode til at huske eksakte data, slet ikke uden nogen indbyrdes relation.

Mennesker er faktisk ret gode til at huske ord og remser, også selv om de ikke giver nogen mening. Tænk f.eks. på alle de vrøvlevers man lærer udenad som børn og stadig husker. Men det er fordi den slags remser er baseret på vores sproglige hukommelse, som er langt bedre end vores formåen til at huske talremser eller remser af abstrakte symboler. Derfor kan man ret nemt huske en meningsløs remse af ord, selv om man ikke kan huske en PINkode på 4 cifre.

Men det er fordi den slags remser er baseret på vores sproglige hukommelse, som er langt bedre end vores formåen til at huske talremser eller remser af abstrakte symboler.

Den væsentligste faktor i hukommelsen er association mellem ordene. På en måde kan hjerne lave en slags association mellem fuldstændig vilkårlige ord, også selvom det er vrøvl.

Et fantastisk eksempel er en navneleg. 50 mennesker i en rundkreds, hvor hver sige noget de er gode til startende med sit forbogstav, f.eks. Min navn er Bent, jeg er god til at Bokse.

Legen starter med en udvalgt første person. Herefter køre rundkredsen igennem, ud fra mønstret: person 1, 1-2, 1-2-3, 1-2-3-4... Første person gentager 50 gang i løbet af legen og den sidste blot een gang.

Resultat er at navne i vid udstrækning kan genkaldes af person nr. 50 på trods af han ikke kendte navnene inden man startede legen.

Jeg kender mange der har sikre kodeord ud fra huskeremser, og det fungerer godt.

Eksempler:
Kode: mhh4boeSs
Remse: min hund har fire ben og en stor snude
Kode: nheo180cH
Remse: naboens hæk er over 180 cm høj

Det kan anbefales, da man på den måde let får kodeord med både tal og store bogstaver i, og kodeordene står formentligt ikke i ordbøgerne.

Intro
Da den samlede masse af version 2's bedrevidende debattører hidtil kun har bidraget med, hvad man vidt og bredt og unuanceret må betegne som noget lort, vil der stærkt tilltrængt præsenteres en metode, der for debattørernes sagesløse og uvidende medborgere kan betyde forskellen mellem tab af formue eller privatlivets fred, hvilket der jo er talrige eksempler på også uden brug eller beskyttelse af kodeord på facebook eller andre underlødige amerikanske sociale tjenester.

Indlæg
Metoden præsenteres af den navnkundige Fedrick Anta Si.

Du skal tænke i associationer. Din hjerne kan huske alt, hvis bare du knytter en association til kodeordet. Denne memoteknik har jeg fundet personligt til dig. Du skal altså lave huskeregel, hvor det kun er din fantasi, som sætter grænsen. Så tøm din hjerne og koncentrer dig, for her kommer de vise ord du skal huske.

Du kan danne en grundstamme i kodeordet ud fra tal eller en remse, som du kender i forvejen.
- Brug dit eller din kones cprnummer, bilnummer, gade og vej numre, mobilnummer, fødselsdag. Nogle af tallene kan du erstatte med talord f.eks 1 blivet e: nul80656 (Du er født 8 juni 1956)
- Associer med en remse: dursod (du er sød), ossdg (også dig), vihargel (vi har gæld), co2r1glopro (co2 er et globalt problem)
- Dele af fornavne eller ord. Har du døtrene Louise (første fødte) og Marie, så kan du danne grundstammen loumar

Du beriger grundstammen med store og små bogstaver og tal: Lou1Mar2, Nul80656, CO2r1glopro

Du tilføjer, bruger eller erstatter dele af kodeordet med specielle tegn: Lou1Mar2% Nul#80656!, CO2r1glo%

Eksempler på koder til netbanken:
- JeHaEn10^6 - Jeg har en million
- AagrBnkMLv% - Åger bank med lave procenter

Eksempler på koder, hvor du skal skifte kodeord med faste mellemrum:
- DeRTralAtSkiKo! Det er træls at skifte kode (Udråbstegn over 1 på dk-tastatur)
- DeRTralAtSkiKo! (Anførselstegn over 2)

Outtro
Således oplyst med Fedrick Anta Si's metode overlades læseren til sine egne logins. Næste gang du sidder bag skærmen og i en fart skal huske dit efter F.Anta Si's metode dannede kodeord, så husk at du kan få gensendt kodeordet til din email. Mere omhyggelig omgang med kodeordet for din netbank tilrådes, fordi det tager banken uforholdmæssigt lang tid med snail mail at sende en ny pinkode. Metoden giver ingen garanti for et stærkt kodeord. Du må ikke anvende de i dette indlæg viste kodeord, da de er offentligt kendte.

;-)
Jan

"Brug dit eller din kones cprnummer"
NEJ NEJ NEJ!
Brug ALDRIG ALDRIG nogensinde nogens CPR-nummer som kodeord.

Et eksempel på hvor galt det kan gå, er min tidligere kollega der havde brugt sit CPR-nummer som kode på sit WEP-"beskyttede" trådløse netværk.
Han havde også en strid med sin nabo vedr. et træ i skellet.
Pludselig begyndte der dog at ske underlige ting, hans telefon blev flyttet til et andet selskab, han blev tilmeldt vejhjælp, han blev tilmeldt dvd-abbonnementer og andre af den slags ting.

Det viste sig at være fordi naboen havde fået sin søn til at bryde koden på hans trådløse netværk, og derved havde han fået CPR-nummeret i klartekst.
(når man kender vedkomnes fødselsdato cirka, er det ikke svært at gætte at der er tale om et CPR-nummer)
Da han blev spurgt hvorfor han brugte CPR-nummeret, var svaret, at Access Pointet bad om et 10-cifret tal som ingen kendte og som han kunne huske fremover... en relativt god beskrivelse af et CPR-nummer...

Et CPR-nummer i de forkerte hænder kan altså gøre stor skade, ikke mindst hvis det er kombineret med andre persondata som eksempelvis telefonnumre, adresse og nummerplade på bilen.

Så nej, brug aldrig nogensinde ever under nogen omstændigheder et CPR-nummer som adgangskode, for hvis det bliver kompromiteret kan det være dobbelt ulykke.

Ang. CPR-Nummer

F. Anta Si har oplyst per mobil, at hun er enig med debatøren ovenfor. Hun udtaler: "Det er fantasiløst at kopiere et nummer eller tal direkte i kodeordet."

Rettelse til metoden:

Nogle af tallene SKAL du erstatte med talord f.eks 1 bliver en eller et: nul80656 (Du er født 8 juni 1956)

Alle disse metoder er som sådan velkendte og en del forekommer også i debatten inden dit eget indlæg.

Så mangler du bare at forhindre at de skriver kodeordet ned på en stor gul post-it til at sætte på skærmen.

Det var så en del af pointen ;-)

a) sætninger i stedet for kodeord
b) Lastpass og lign programmer.

Ftw

Han påpeger dog, at undersøgelsen ikke har spurgt ind til, hvor de usikre passwords bliver brugt, og at det sagtens kan være, at adgangskoden til netbank er skruet sammen efter alle kunstens regler, mens login’et til diverse diskussionsfora på nettet blot er konens fornavn.

Netop. Sådan gør ethvert fornuftigt menneske, hvorfor man ikke kan bruge resultatet af undersøgelsen til at konkludere som i artiklen.

Hvad er det ethvert fornuftigt menneske gør?
Spørger ind til om der bruges både simple og komplekse passwords alt efter formålet?
Eller bruger konens fornavn som password?

For jeg kan ikke se noget fornuftigt i at bruge noget så simpelt som et navn som password?
- heller ikke selvom det kun er til et mere eller mindre ligegyldigt forum.

Hvad er det ethvert fornuftigt menneske gør?

Eftersom der ikke er blevet spurgt til det i undersøgelsen, så kan vi ikke vide det.

Overskriften til nærværende artikel er "Danskerne fravælger bevidst sikre adgangskoder". Ja åbenbart - men kun til debatfora som version2 eller også til netbanken? Det vides ikke.

Det med konens navn og 123456 som password er sandsynligvis bare journalistens egen formulering. Et usikkert password kan også bare være at genbruge det samme password på flere sites. Ud fra artiklen fremstår det at kriteriet for et sikkert password er hvorvidt det indeholder "store bogstaver, små bogstaver, specialtegn og tal".

Mener du seriøst at alle bør finde et unikt password der opfylder dette kriterium for samtlige mere eller mindre ligegyldige fora man måtte oprette en konto på?

Mener du seriøst at alle bør finde et unikt password der opfylder dette kriterium for samtlige mere eller mindre ligegyldige fora man måtte oprette en konto på?

Jeg mener i hvert fald ikke det er nødvendigt.
Jeg kan ikke se noget galt i at have ét godt password, der genbruges på flere sider.
Jeg har et jeg kalder for mit "trash-password" som jeg bruger på ligegyldige sites.
Det er lige så komplekst som dem jeg bruger til vigtige ting, men jeg mener ikke det er nødvendigt med ét til hvert ligegyldige forum jeg kommer forbi, da passwordet er sikkert nok til at det hverken bliver gættet eller bruteforced.
Eneste måde en hacker får fat i det, er ved at angribe selve sitet og få adgang til passwordet direkte i databasen (hvis de er dumme nok til at opbevare det som andet end en hash-værdi, hvilket mange desværre er).
Jeg ved godt at hvis nogen så skulle få fat i passwordet, har de potentielt adgang til min konto på mange forskellige fora... fred være med det, for det første skal de lige finde de fora jeg har brugt det samme password på, for det andet skal de lige gætte hvilket brugernavn jeg har brugt de andre steder, for det er jo ikke altid det samme overalt...

Jeg kan ikke se noget galt i at have ét godt password, der genbruges på flere sider. Jeg har et jeg kalder for mit "trash-password" som jeg bruger på ligegyldige sites.

Problemet med at genbruge passwords er at en ekstern password database kan blive kompromitteret, og nogle sites gemmer desværre passwords i klartext (burde forbydes ved lov).

Selvfølgelig kan man have et trash password som er nemt at huske til ligegyldige sites, men hvis man alligevel bruger en password manager til at generere unikke gode password for hvert site (ingen kan huske 100+ gode passwords), er der egentlig ikke nogen grund til det.

Selvfølgelig kan man have et trash password som er nemt at huske til ligegyldige sites, men hvis man alligevel bruger en password manager til at generere unikke gode password for hvert site (ingen kan huske 100+ gode passwords), er der egentlig ikke nogen grund til det.

Hvis man bruger en password manager er der ingen grund til at genbruge passwords nogensinde, nej.

Jeg er bare ikke så vild med at ét brugernavn/password giver adgang til ALT.
Det lyder i mine ører usikkert.

Det er rigtigt at man ikke behøver frygte at nogen får fat i passwordet til et forum/site/something et sted, da skaden er ret begrænset og man kan have meget komplekse passwords.
Men password managers bytter én usikkerhed ud med en anden, nemlig single-point-of-failure.
Og så meget stoler jeg bare ikke på nogen software-leverandør.
Og en Open Source password manager er helt udelukket for mig, da en hacker så ville have adgang til kildekoden, hvilket i mine øjne øger risikoen for at en evt. sårbarhed opdages og udnyttes.

En løsning a la OpenID er klart at foretrække, men desværre er der nærmest ingen sider der understøtter det (gør Version2?).

Så i stedet kan man vælge at bruge en password-manager - der lagrer tilfældigt generede adgangskoder lokalt eller centralt - eller man kan vælge at generere adgangskoderne on-the-fly for hvert domæne ud fra én fast kode - og dermed undgå at lagre noget.

Sidstnævnte kan f.eks. opnås vha. browser udvidelsen RndPhrase, som jeg pt. arbejder aktivt på:
http://wiki.github.com/brinchj/RndPhrase/

Problemet med at huske koder ligger i, at de fleste har for mange log in koder.
De flestre IT afdelinger med respekt for sig udsteder nye log in koder i en lind strøm. Selv har jeg til forskellige døre, edb systemer, kreditkort benzinkort m.v. over een side A4 tæt beskrevet med forskellige koder. Hvem i alveren kan forvente at man kan huske alle dise koder, - og slet ikke der hvor mange skifter hver 40 dage.
Det er mig en gåde hvorfor almindelige elsystemer skal forsynes med en login kode blot fordi de betjenes via en PC. Før i tiden var betjening af en tavler eller andet en rød eller grøn knap på tavlefronten og kun specielle hensyn krævede nøgleafbrydere.
IT nørder og andre bør vurdere nødvendigheden af log-in's og desuden finde frem til centraliserede adgange frem for hver at pleje deres egen lille niche. Blot læs om hospitalernes log in helvede, og det er ikke det eneste sted.

På min arbejdsplads gør vi meget ud af at kunne bruge vores Active Directory login flest mulige steder.
P.t. kan stort set alt der kræver login, klares med AD loginnet - fx login på selve pc'erne, intranettet, administrative systemet, trådløst netværk, ordbogen.com, webmail, mobiltelefoner og meget andet.

Det kræver ofte en del ekstra tid at sætte op og få til at virke, men i længden er det helt klart det værd, ikke mindst i form af medarbejdertilfredshed, men også i den forstand at når vi tvinger folk til at skifte adgangskode 4-5 gange årligt, så træder password-skiftet i kraft alle steder, hvilket naturligvis øger sikkerheden.

Det betyder også at hvis en medarbejder stopper, kan vi let og centralt blokere vedkomnes adgang, blot ved at højreklikke på brugeren i AD'et og vælge Disable.

Det er også lettere for support-afdelingen, da langt de fleste "glemt password" eller "udløbet password" eller "bruger låst ude" opgaver kan løses ét sted.

På den måde kan vi også forhindre folk i at genbruge de samme kodeord igen og igen, men det er en helt anden sag :-)

Så central styring af brugernavne/adgangskoder kan klart anbefales!

Målet må være at helt eliminere passwords vha single sign-on-protokoller som SAML og OpenID. De løser en række problemer så som phishing, svage passwords og tid spildt på at administrere passwords i det hele taget.

Det har de danskerne bag OneLogin lavet en udmærket virksomhedsløsning til.

http://www.onelogin.com

Thomas

Selv SSO løsninger kræver vel ét password, der bør skiftes engang imellem?

Eller har jeg misforstået noget?

Hvis ikke, er det jo stadig et problem hvis folk vælger et skidt password, skriver det ned, eller genbruger det igen og igen.
Omend et mindre problem, men stadig et problem?

Jo, SSO-løsningen kræver som regel også et password, men da der nu kun er ét login som brugeren skal huske, kan man gøre det meget mere sikkert ved at kræve at passwordet er meget stærk eller at tilføje two-factor authentication.

OneLogin understøtter fx two-factor authentication vha VeriSign VIP Access or Yubico, hvilket gør det ikke er nok at kende username og password for at logge ind i SSO-løsningen. Der skal også indtastes et one-time password, som er genereret af en af disse meget sikre løsningen.

Jep, one-time passwords øger sikkerheden markant.
Jeg kender flere steder hvor de sender disse engangs-koder ud via SMS, til det telefonnummer der i systemet er koblet sammen med brugeren der forsøges at logge ind som.
Det gør det noget sværere for uvedkomne at komme ind.

Password tokens er også gode, men min erfaring siger mig at folk glemmer deres telefon sjældnere end de glemmer deres tokens, hvorfor SMS er praktisk, omend det tager et par sekunder længere pr. login.
Dér kommer SSO så ind og reder dagen, så man ikke skal logge ind så tit.

En ting er at det ligger sikkerhedsægene i samme kurv - en anden er at kurven kontrolleres af andre og kommercialiseres.

Det er cool burger. Men som virksomhed er der en del penge at spare, hvis man kan bruge SSO med f.eks. sit Windows Domæne userid, og ikke skal have 12 forsk. logins med forsk. passwords password politiker mv.
Så helt slemt er SSO ikke (kommercialiserigen er inden for virksomheden).

Single-signon må nødvendigvis forblive en klient-side problemstilling med forskellige mekanismer mod de repsektive sites.

Single-signon bør selvfølgelig være en klient side teknologi.

En ting er at det ligger sikkerhedsægene i samme kurv - en anden er at kurven kontrolleres af andre og kommercialiseres.

Det behøves nu heller ikke at være på den måde. Jeg benytter selv en password manager, eller elektronik nøglering, om man vil. Det fungere bare langt fra optimalt. Selv med browser plug-ins o.l. er det rimelig besværligt. Specielt taget i betragtning hvor mange gang man skal bruge et password i løbet af en dag.

Passwords, pin koder ol. er en oldnordisk måde at håndtere nøgle på. Hvis man prøver at være lidt visionær og tænke lidt mere i nøgle og lidt mindre i identitet, så er der fantastik mange muligheder i X.509 certifikater.

F.eks. kunne man forstille sig et sæt konkurrerende CA. Websites (og andre låse) kunne så selv bestemme hvilke CAs de ville anerkende. Som borger kunne jeg selv bestemme hvilke CAs jeg ville stole på i forskellige sammenhænge, klassificeret i sikkerhedskategorier. Sociale netværk kunne måske være en kategori. Økonomiske og juridiske sager, ville være en anden. Mit hus og elektronikken i det, ville være en tredje.

Hvis borgeren havde et fysiske elektronisk nøglering med X.509 certifikater, kunne han/hun have et sæt nøgler, fra forskellige CA'er. Selv fra sin egen personlige CA til private ejendoms kategorien.

Teknologien er selvfølgelig for umoden, det samme er samfundsholdingen. Men om 10-30 år, vil smartere, mere tidssvarende løsninger have fundet vej og uhensigtsmæssige stenaldersmetoder for længst være begravet.

Hvis borgeren havde et fysiske elektronisk nøglering med X.509 certifikater, kunne han/hun have et sæt nøgler, fra forskellige CA'er. Selv fra sin egen personlige CA til private ejendoms kategorien.

Hvad gør man når medarbejderen har glemt nøgleringen derhjemme, eller den bliver stjålet?

Hvad gør man når medarbejderen har glemt nøgleringen derhjemme, eller den bliver stjålet?

I udgangspunktet præcis det samme som hvis han har glem sin nutids nøglering derhjemme eller den bliver stjålet. Det er selvfølgelig potentiale for at gøre den slags lidt smartere med X.509 certifikater.

Kun hvis Finansministeriet og PBS ikke får held til at blokerer markedet med online interfaces som fastlåser os alle til PKI hvor man ikke bør bruge PKI.

Nu er verden heldigvis større end Danmark.

I udgangspunktet præcis det samme som hvis han har glem sin nutids nøglering derhjemme eller den bliver stjålet. Det er selvfølgelig potentiale for at gøre den slags lidt smartere med X.509 certifikater.

Som er? Jeg håber ikke du mener at han skal køre hjem efter den (det kan være langt, og økonomisk er dette ikke særlig smart).
I de fleste tilfælde har man jo en kopi af sin nøglering liggende et sted udenfor sit hus, eller hos sin nabo.

Ville det ikke være smartest at bruge telefonen eller en anden device som man allerede har og så f.eks. Bluetooth til det. Så skal man ikke forlade sig på USB stik og sære dongles, eller keycards.

PS: Kan man smække sig ude ;-)

Sure - men det kan vi ikke bruge til meget. Hverken i forhold til offentlige services eller med henblik på innovation.

Nej. Det er klart at DK har sat sig selv uden fremtidens muligheder med DanID. Jeg mente nu mere at verden går ikke i stå fordi innovationen udebliver i DK. Heldigvis.

Så hvad er pointen - hold kæft eller flyt?

Tja, det kan du vel sige... Dog ingen grund til at holde kæft.

Så hvad er pointen - hold kæft eller flyt?

Pointen er vel at i takt med at der kommer nye muligheder på markedet i verden, åbner det for mulige erstatninger til nuværende løsninger i DK også.

Bare fordi DanID p.t. er låst fast på denne løsning, betyder jo ikke at der ikke kan ske forandringer i fremtiden.

Bare fordi DanID p.t. er låst fast på denne løsning, betyder jo ikke at der ikke kan ske forandringer i fremtiden.

Nej det betyder det ikke i teorien. Men i offentlige Danmark betyder det indtil videre det. Bare det at man kører systemmoderniseringer, hvor man genskaber sin "mainframe" i Java, og så tror man har opnået noget enormt værdiskabende er skræmmende. De skattekroner der bliver brugt på disse projekter som egentlig bare er road blocks for os borgere uden at give os mere værdi (og velfærd) er noget af det som vi skal til livs. Vi skal sørge for at vores skattekroner bliver brugt mere effektivt, og det gør de hvis vi effektivisere. Der kan vi jo starte med at tankesættet hos Staten og det offentlige, samt deres rådgivere ændres så det kigger fremad mod en vision i stedet for at reimplementere as-is på en anden platform/anderledes teknologi you name it.
Det sidste jeg hørte var en af mine kunder som gik med planer om at køre et projekt der handler om at skifter fra Oracle RDBMS til SQL Server. Det er jo et sjovt "lille" projekt hvor nogle projektledere kan træne. Men når de er færdige, har de kun opnået at forstyrre en helt masse i perioden for transition (og sikkert også bagefter), at sørge for at de ingen kompetencer har på området og at bruge penge. De har ingen positiv værdi skabt. Det er problemerne i dag.

Når så man laver en eklatant brøler som NemID og alt hvad der følger i slipstrømmen heraf, så skal man stoppe totalt op og ikke fortsætte. Det er tilbageskridt ikke fremskridt eller as-is.

Jeg undgår at benytte samme password til forskellige sites ved at inkludere dele af urlen. Så hvis mit password f.eks er zz + første bogstav af url + top + andet bogstav af url, vil mit password til v2.dk være zzvtop2, og mit password til cw.dk være zzctopw

Således skal jeg kun huske een "password formel", den kan jeg så til gengæld gøre sikrere med specialtegn osv (Z2 t0P!)

Givet, hacker og indsamler man mine passwords fra flere forskellige sites, vil man kunne gennemskue mønsteret, men pointen er at et enkelt kompromitteret password alene ikke er nok.

Jeg skifter min formel ca hvert år, og fordi jeg bruger den samme formel til alle sites, husker jeg nemt både den nye og gamle formler.

De fleste andre jeg kender bruger hovedrystende enkle passwords (deres fødselsdato eller lign), til ALLE sites, hotmail, facebook, netbank, og skifter den aldrig. Jeg tror desværre det er ret repræsentativt.

Da man mange steder kræver der bruges et login med tilhørende password, her taler jeg om fuldstændig ligegyldige steder, vil mange (inclusive mig selv) bruge et ligegyldigt password til disse sites.
Men jeg kan godt lide Peter Andersens løsning der på nogle måder ligner min egen, dog er min mere kompliceret og resultere altid i mindst 12 tegn, undtaget steder hvor det er ligegyldigt, f.eks. på denne side!
Jeg skifter alle de vigtige passwords ud 1 gang om året.

Således skal jeg kun huske een "password formel",

Jeg bruger samme metode (ikke samme formel dog), men dog uden at skifte ud i mit salt løbende. Jeg er for doven til at skrive en liste af sites jeg besøger, og at skifte kodeord overalt ville være en plage :(

Hvad jeg godt kunne tænke mig var noget lignende integreret i browseren (ala RndPhrase som desv. ikke er så modent endnu - det virkede ikke umiddeltbart for mig, også hvor man selv kunne definere "formel" på en let måde). Hvis jeg havde sådan noget, ville jeg lave min formel lidt sværere, end nuværende kravet er at det kan klares i hovedet :)

Mvh,