I sidste uges opdatering til deres Security Baseline fjernede Microsoft det som standardindstilling, at brugerne skal skifte kodeord hver anden måned.
Og det er der god grund til, mener Head of Security & Technology hos it-revisionsselskabet PriceWaterhouseCoopers (PWC) Mads Nørgaard Madsen.
»Det har længe været en diskussion, om det giver noget for sikkerheden at tvinge folk til at skifte deres kodeord. Problemet er, at vi som mennesker ikke kan huske de her komplekse kodeord. Så det, vi gør, er, at vi bare taster 1 til sidst, så 2 til sidst, osv.,« siger han.
»Men vi ændrer faktisk ikke kodeordet. Så det er falsk tryghed at tro, at det at vi skifter kodeordet hver måned eller hver tredje måned, flytter ret meget sikkerhedsmæssigt. Jeg vil næsten postulere, at det er bedre at have et komplekst kodeord, man ikke skifter.«
I stedet kan det ende med at blive implementeret per automatik, uden at det er blevet overvejet hvorfor.
Bliver tvungent passwordskift en slags sovepude for virksomheder, hvor man bare implementerer det uden at tænke over det, fordi det er en standardting?
»Ja, det vil jeg sige. Jeg tror, at man de fleste steder har gjort det, fordi alle siger, man skal gøre det. Alle sikkerhedsrådgivere har jo også altid slået på det, når der har været noget med en sikkerhedsløsning: ’Hov hov, I skal jo også lige skifte kodeord hver måned’.«
Ikke alle passwords er lige
Det er Microsofts security baseline-opdatering, som denne gang har sat udløbende passwords på dagsordenen, og det er også ofte brugernes Windows-login, som udsættes for den politik.
Men det kan også være problematisk, for et Windows-login er ikke nødvendigvis det mest sårbare login, der findes i en organisation.
»Diskussionen om password-skift handler ofte om Windows-login, men når vi ser på hændelserne, så handler de rigtig store bekymringer om login til cloud-services.«
»Hvis man for eksempel tager Office 365. Det login har rigtigt mange virksomheder kun brugernavn og password på, og det er simpelthen ikke godt nok. Der skal være tofaktor-autentifikation på de services, og det kan kun gå for langsomt.«
Dårlig beskyttelse mod avancerede angribere
Et argument for udløbende passwords kan være, at der er sket en stor stigning i credential stuffing-angreb, hvor hackere bruger store lister af e-mails og passwords lækket fra tidligere hacks til at forsøge at få adgang til konti, hvor brugerne har brugt samme password.
I sådanne tilfælde kan tvungent passwordskift forhindre en gammel kode fra et tidligere læk i at give adgang til nye systemer. Men Mads Nørgaard Madsen mener ikke, det kommer til at gøre den store forskel.
Fordi tvunget passwordskift ofte resulterer i en lille, forudsigelig ændring, kan en avanceret angriber nemlig let justere sin credential stuffing til at tage højde for små variationer.
»Hvis jeg laver et script, som automatisk prøver alle de lækkede passwords på for eksempel Office 365, så vil passwordskift hjælpe. Men der skal ikke meget energi til at skrive mit script, så hvis et password slutter på 04, så prøver den også lige med 05, 06, 07 osv. Og så er jeg jo inde alligevel.«
Det er ikke nok med brugernavn og password
I sidste ende mener Mads Nørgaard Madsen, at man bør sikre brugernes adgang på helt andre måder. Man bør bruge multifaktor-autentifikation eller helt gå væk fra passwords.
»Hovedkonklusionen er, at du simpelthen skal have tofaktor-autentifikation slået til,« siger han.
Har tvungent skift af password nogen berettigelse som del af en sikkerhedsstrategi?
»Nej, det synes jeg faktisk ikke. Fokus bør være på at supplere login med MFA eller helt gå væk fra kodeord generelt.«