Britisk cyberpoliti: Drop det skadelige tyranni for kodeords-sikkerhed

Det bør forbydes at tvinge brugere til at skifte kodeord hyppigt eller måle kodeordets styrke, mener det britiske spionagentur GCHQ.

Unødig komplekse regler for kodeord giver falsk tryghedsfornemmelse og ekstra arbejdsbyrde. Sådan lyder en del af budskabet i en ny guide til kodehåndtering udgivet af Storbritanniens efterretningstjeneste i cyberspace, GCHQ.

Det skriver The Register.

Læs også: Programmeringsbrøler gør det let at knække kodeord fra Ashley Madison

Guiden indeholder grundlæggende sikkerhedsvejledning såsom en opfordring til altid at skifte et standardkodeord og aldrig opbevare kodeord i klar tekst. Men cyberpolitiet går også skridtet videre og anbefaler et opgør med en række af de sikkerhedsmyter, som dikterer regler omkring kodeord.

Administratorer bør for eksempel aldrig tvinge brugere til at skifte kodeord hver tredje måned, mener GCHQ. Forskningen viser, at jævnlige kodeskift kun resulterer i svagere koder, fordi de bliver sværere at huske.

Læs også: Snowden-dokumenter: NSA og GCHQ gik målrettet efter betroet antivirus-software

Kun i tilfælde af, at systemet er blevet kompromitteret, skal brugeren tvinges til at skifte kodeord.

Den lille måling af kodeordets styrke, som ofte dukker op, når man opretter en onlineprofil, skal også begraves, mener sikkerhedstjenesten. De kan nemlig ikke fange meget svage kodeord som for eksempel brugerens navn.

Læs også: Elektroniske stemmebokse brugte 'admin' som kodeord

I stedet bør administratorer sortliste de mest brugte og banale kodeord. Det skal altså være slut med koder som ‘password’ og ‘123456789’.

Derudover bør administratorer ikke tillade mere end 10 forkerte login-forsøg for at stække hackere, der forsøger at bruteforce systemet, lyder anbefalingen fra GCHQ.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ditlev Petersen

Og hvordan er GCHQ blevet til cyberpoliti og gode rådgivere ud i password? Det minder lidt om Rockernes Vagtværn, der anbefaler, at man lægger nøglen under dørmåtten. Men det er da rigtigt at Padde1! udskiftet med Padde2! hver tredje måned ikke bidrager til ret meget.

  • 4
  • 1
Benny Jensen

De har selvfølgelig en point, som Ditlev Petersen også skriver (Padde1 -> Padde2), men der hvor det hele ligesom falder til jorden i mine øjn, er når virksomhederne ikke melder offentligt ud at de er blevet kompromiteret, eller endog ikke engang er klar over det.

  • 0
  • 0
René Nielsen

GCHQ har i en årrække udgivet vejledninger til hvordan engelske myndigheder sikrer sig imod angreb, hvilke telefoner man ikke skal vælge og en masse andet sikkerheds relateret.

Det er vel blot en sådan vejledning som er blevet opdateret. Og ja, det er vel som at sætte ræven til at vogte gæs, men læs selv;

https://www.gov.uk/government/collections/end-user-devices-security-guid....

  • 2
  • 0
Kasper Hansen

Det virker unødigt paranoidt. Faktum er at rigide og overdrevne password politikker i virksomhedder kun fører til en af to ting:

1) Padde1! -> Padde2! -> Padde3!
2) Passwords gemt i klartekst enten på post-its eller digitalt

Så de har helt ret. GCHQ har - i øvrigt ligesom NSA - en lidt skizofren rolle hvor de på samme tid skal hæve deres eget lands sikkerhed og være et spy agency. Så selvom du skal være kritisk overfor der de siger og gør er 90% af det de lancerer for at forbedre sikkerheden faktisk derfor.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize