»Vi er nødt til at gøre op med dårlige adgangskoder, der anvendes på tværs af tjenester, for det er et alvorligt og meget konstant sikkerhedsproblem.«
Det skriver Henrik Larsen, der er chef for DKCert, i en klumme på organisationens web.
Rådet for Digital sikkerhed kommer med retningslinjer på området senere på året.
Så klummen udtrykker Henrik Larsens egne holdninger, understreger han.
Ansvaret for et godt password har hidtil ligget hos brugeren, anfører DKCert-chefen, men den praksis ser han gerne ændre sig i retning af, at tjenesteudbyderen - f.eks. Facebook, Google eller Den Blå Avis - drages mere ind i billedet.
»Længden af dit password kommer i fremtiden til at betyde mere end store bogstaver, tal eller specialtegn, som prioriteres højt i dag.«
Med den computerkraft, der er til rådighed gennem de kriminelles botnet, kan de korte adgangskoder hurtigt knækkes, advarer han - uanset om der er brugt store eller små bogstaver.
»Men i takt med, at længden på din adgangskode øges, øges de kriminelles regne-tider også markant, hvilket giver bedre sikkerhed.«
12 til 64 tegn
»Kravet om komplekse passwords, regelmæssig udskiftning og sikring har faktisk vist sig ikke at have den ønskede effekt, hvilket kræver nye anbefalinger, der gør op med den nuværende best practice.«
Et nyt krav til tjenesteudbyderen kan være, at der er regler for længden på et password.
»Min holdning er mindst 12 (men gerne 20 tegn) og måske helt op til 64 tegn, hvis der er strenge sikkerhedskrav. Hvis du bruger genkendelige ord eller sætninger i din adgangskode, kan det åbne for de såkaldte dictionary attacks, men benyttes eksempelvis en password manager til at skabe adgangskoderne, så udelukkes denne type angreb også,« skriver Henrik Larsen.
Anbefalingerne siger til gengæld, at der ikke skal være krav om specialtegn, tal eller andet, og man kan også droppe krav om udskiftning af adgangskoder, eksempelvis hver tredje måned.
På den måde skal brugeren ikke huske nye/tildelte adgangskoder, men kan selv finde en kode, der kan huskes, og som vel at mærke ikke behøver at blive skrevet ned på en gul lap, der klistres fast på skærmen.
»Tjenesteudbyder skal sørge for, at der kun er et begrænset antal login-forsøg til rådighed og i øvrigt droppe usikre sikkerhedsspørgsmål som 'Hvad hedder din mor?'. På den måde undgår man kompromitteringer ad den vej,« anfører Henrik Larsen.
Ligeledes bør en tjeneste altid bede sine brugere om at skifte password, hvis der er den mindste mistanke om kompromittering af password-databasen.
Adgangskoder må ikke genbruges
Brugeren har selvfølgelig også et ansvar, påpeger Henrik Larsen - eksempelvis er det helt afgørende, at adgangskoder ikke genbruges på tværs af tjenester.
»Derved undgår du en kaskade-effekt, hvor et mistet password rammer bredt i dit digitale liv. Desuden bør det være en klar anbefaling, at to-faktorsikkerhed altid anvendes, hvis der er mulighed for det.«
Han tilføjer, at også brugen af login-tjenester, hvor Facebook eksempelvis anvendes som adgang til andre tjenester, bør vurderes. Ulempen er her, at man bliver afhængig af de sikkerhedsniveau, som disse tjenester tilbyder.
En simplificering af password-anbefalingerne er ikke kun et dansk fænomen, men bygger på internationale retningslinjer som eksempelvis i den nyeste NIST-standard og retningslinjer fra de britiske myndigheder.
