Forsker: Tvungen passwordskift er brugerchikane - og giver ikke mere sikkerhed

14. april 2010 kl. 13:0432
Det er spild af arbejdstid, når medarbejdere tvinges til at skifte adgangskoder, set i forhold til den sikkerhed det giver. Det er langt vigtigere at vælge en en god adgangskode, mener Microsoft-forsker.
person
Artiklen er ældre end 30 dage
person

Når du hyppigt bliver bedt om at skifte adgangskoder på websteder og andre login-tjenester, så er det faktisk spild af tid og penge målt i forhold til sikkerhedsgevinsten. Det mener Microsoft-forsker Cormac Herley, som har set nærmere på de skjulte omkostninger ved it-sikkerhedsforanstaltninger.

I en rapport konkluderer han, at især politikken med hyppigt at skifte kodeord ikke giver tilstrækkelig værdi i forhold til, at medarbejderne skal bruge tid på det. Det skriver avisen Boston Globe.

Hyppige skift af kodeord giver nemlig ifølge Cormac Herley ikke nogen beskyttelse mod misbrug, medmindre brugeren når at skifte adgangskode i tidsrummet fra en hacker får fat i kodeordet, og til det bliver udnyttet.

I stedet for hyppige skift er det derfor langt vigtigere, at brugerne fra starten vælger sikre adgangskoder, der ikke er lette at gætte for en hacker.

Artiklen fortsætter efter annoncen

Cormac Herley baserer sin konklusion på, at en hacker vil anvende kodeordet med det samme, men der er dog eksempler på eksempelvis tyveri af koder til netbanker, hvor de kriminelle venter et godt stykke tid, før de lænser selve kontoen.

Direktør Ulf Munkedal fra sikkerhedsfirmaet Fort Consult er enig i, at et godt password er langt mere vigtigt, selvom skift af koder også i sig selv kan have stor værdi.

»Det kommer an på, hvilke systemer det drejer sig om, hvem der har adgang til dem, og hvordan kulturen i virksomheden er,« siger Ulf Munkedal.

Eksempelvis kan it-afdelingen i en virksomhed med en salgskultur være nødt til at være mere strikse med at håndhæve en passwordpolitik, fordi medarbejderne fokuserer på tempo. I en bank kan it-afdelingen derimod oftere overlade det mere til medarbejderne, fordi kulturen i forvejen er bygget op omkring at passe på data.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Man skal finde den gyldne middelvej, der passer til éns egen virksomhed. Passwordskift i sig selv har stor værdi, men gode passwords er langt mere vigtigt. Og det er også vigtigt at få systemerne til at håndhæve, at brugerne vælger gode passwords,« siger Ulf Munkedal.

Han anbefaler, at man især understreger over for sine brugere, at de ikke skal bruge de samme kodeord til virksomhedens systemer, som de bruger til deres private tjenester.

Helt konkret bør man vælge et unikt og stærkt kodeord til henholdsvis sit virksomhedslogin, netbank og digital signatur. Til gengæld kan man genbruge et standardkodeord til websteder, hvor man ikke har fortrolige data liggende.

I virksomheden bør man alt efter kulturen sætte systemet op til at bede om nye koder med et sted mellem 30 og 90 dages mellemrum. Det gælder om at finde en balance, hvor brugerne ikke begynder at omgå intentionerne ved sikkerhedspolitikken.

»Hvis man beder folk skifte for hyppigt, så begynder der at gå system i folks passwords, så det bliver eksempelvis Olsen1, Olsen2, Olsen3 og så videre,« siger Ulf Munkedal.'

Hvordan er password-politikken i din virksomhed? Skriv i debatten nedenfor.

Emner
32 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
Ole Tange
14. april 2010 kl. 14:24

Jeg vælger normalt passwords, som er svære at gætte. Derfor bliver jeg generet, når systemer er så tåbelige, at de ikke accepter passwords som:

¤X'\ }"!£x9 ';delete from Users;'$

Hvis du har lavet et system, som ikke accepterer oventstående som adgangskoder, gider du så ikke godt lave dit system om?

  • more_vert
    • insert_linkKopier link
3
Nicolai Klausen
14. april 2010 kl. 14:30

Hvis kravet til udformning af passwords er for kompleks, skriver folk dem ned på en postitnote og sætte den på skærmen... Har du så fået højere sikkerhed?

Ja iforhold til folk der digitalt prøver at bryde kodeordet

Nej iforhold til folk der kommer forbi din computer, de behøver ikke at bryde kodeordet

  • more_vert
    • insert_linkKopier link
5
Peter Andersen
14. april 2010 kl. 14:39

Grafikken til artiklen ligner et screenshot fra NemID. Er det tanken at NemID skal kræver tvungen password skift? Det er en dum idé. Hvor jeg skal bestille toner (suk) skal jeg ændre password hver måned, og de nye passwords må ikke ligne de gamle. Gæt om jeg bliver nødt til at skrive dem ned for at huske dem..

  • more_vert
    • insert_linkKopier link
6
Peter Mogensen
14. april 2010 kl. 15:02

Kan ikke lade være med at trække lidt på smilebåndet over at der ligefrem kommer en "forsker" fra Microsoft og fortæller noget os de fleste har vidst i årtier.

  • more_vert
    • insert_linkKopier link
7
Michael Johansen
14. april 2010 kl. 15:40

Ja, specielt når man ser på default password policy i Windows Server. Pain in the ...

  • more_vert
    • insert_linkKopier link
9
Patrick Moog
14. april 2010 kl. 16:00

"Passwordskift i sig selv har stor værdi" Citat: Ulf Munkedal dog giver han ikke et eneste eksempel på hvilken værdi det skulle være? Han bruger eksemplet at det vil være godt for en virksomhed der har fokus på tempo. Ok en medarbejder kommer til at lække et password, hvad hjælper det så at et tvunget password skift kommer en måned senere?

  • more_vert
    • insert_linkKopier link
8
Nikolaj Brinch Jørgensen
14. april 2010 kl. 15:52

Det sørgelige er bare at nutidens store virksomheder i DK alle forlanger at man skal ændre sit password 1 gang om måneden eller 1 gang hver 3. måned. Det er super belastende og giver ingen sikkerhed overhovedet.

Der er generelt en syg opfattelse af hvad sikkerhed er på mange IT arbejdspladser.

  • more_vert
    • insert_linkKopier link
10
Peter Lindemann
14. april 2010 kl. 16:04

På en god dag kan jeg snildt komme ud for at bruge mit password op til 100 gange som kvittering i systemer der er kraftigt reguleret og derfor kræver elektronisk signatur hver gang. Jeg er også udsat for passwordkiftetyranniet, og et utal af administratorkonti, benzinkort, websteder osv, I kender det sikkert. Det er på tide at nogen tager en grundig tænker, for det er menneskeligt komplet umuligt at overskue med mindre man forsimpler, og hermed kompromitterer sikkerheden. Hvem fejler så systemerne eller mig? Det er i hvert fald ikke mig ...

  • more_vert
    • insert_linkKopier link
26
Gregor Giebel
15. april 2010 kl. 10:36

Jeg har gode erfaringer med CryptoCardExplorer. Den er en af de mange password husker, men i modsætning til så mange som kun virker på en bestemt OS, kan den køre på både Windows og Windows Mobile. Så kan man holde sine passwords synkroniseret, og har dem altid med (hvis man altså arbejder på Windows, og synkroniserer sin Windows Mobile telefon).

Kuckst du hier:http://www.pocketpcfreeware.com/en/index.php?soft=958

  • more_vert
    • insert_linkKopier link
27
Nikolaj Brinch Jørgensen
15. april 2010 kl. 11:11

Derfor laves der super mange løsninger som går ud på at omgå denne fejl, i stedet for simpelthen at fjerne fejlen. Password og skift heraf var version 1.0, at vi ikke er kommet videre er skræmmende. Det er en tidsrøver og en fejl-teknologi, som nogle skulle bruge noget tid på at lave om. Vi har nu accepteret at der ikke skal ske innovation inden for dette område, og lever med problemerne som om det er nødvendigt. Hele dette område trænger til en ordentlig omgang eftersyn og innovation. De fleste råd og det meste vejledning er legacy og bagstræberisk og basere sig udelukkende på as-is - og har ingen vision for to-be, som egentlig kendetegner området.

Det er sørgeligt, men det er nu sådan det een gang er.

  • more_vert
    • insert_linkKopier link
30
Alice Raunsbæk
15. april 2010 kl. 14:41

@Nikolaj Hmmm, jeg tænker at der jo er nogle af de her login-ting, der bruger hhv. finger aftryk-scanner og kamera (billede af dit ansigt). Jeg forestiller mig at der må findes noget tilsvarende til stemme gen-kendelse.

De sidste to har dog ikke blot den ulempe at de kræver hardware, men også at de er afhængig af noget, der kan ændre sig (hvis du får dårlig hals, eller hvis vi har bandager i fjæset - eller en virkelig ekstrem make-up) På den positive side, så kan de i nogen grad ændre sig.

Finger-aftryk vil også kræve hardware, men med mindre du mishandler eller mister dine fingre, så skulle de være nogen lunde til at bruge. På den negative side, så kan du ikke ændre dem, hvis nogen skulle finde en måde at kopiere det på. (Tænker her på et afsnit af MythBusters, hvor de havde stor success med at snyde finger-aftryks-scannere)

Ang. brugernavn bør det dog være muligt at finde på noget forholdsvis unikt. Hvis du laver noget der indeholder land, fødselsdato, navn og måske fødeby - så tror jeg du skal være pænt uheldig for at få sammenfald. (Jeg er selv lidt heldig på det punkt, da jeg øjensynligt er den eneste med lige mit navn =0P)

Hvis man vil undgå at skulle huske flere passwords, så tror jeg dog ikke at vi kan komme uden om noget som enten er singel sign on eller noget som er person-specifikt (ansigt, øjne, fingre, stemme - mere avancerede; blodcirkulation i hænderne, dna... tænk selv videre i scifi-stil).

  • more_vert
    • insert_linkKopier link
31
Nikolaj Brinch Jørgensen
15. april 2010 kl. 14:52

@Alice Ja du har ret, vi skal et sted hen hvor den måde vi tilkendegiver os overfor computeren ændres. Vi skal så bare sørge for at retsikkerheden er i orden, det skal være revocable, så hvis det kopieres/forfalskes kan det laves om (det er svært med biometri alene).

Ang. brugernavn bør det dog være muligt at finde på noget forholdsvis unikt. Hvis du laver noget der indeholder land, fødselsdato, navn og måske fødeby - så tror jeg du skal være pænt uheldig for at få sammenfald.

Ja det er rigtigt, men så har jeg oplyst mange data (personlige), som jeg ikke er interesseret i. Derudover ser det fjollet og åndsvagt ud på fora at man hedder super mærkelige ting, fordi der er en 1 til 1 mellem login navn og alias (hvilket jo også er en fejl).

Hvis man vil undgå at skulle huske flere passwords, så tror jeg dog ikke at vi kan komme uden om noget som enten er singel sign on eller noget som er person-specifikt (ansigt, øjne, fingre, stemme - mere avancerede; blodcirkulation i hænderne, dna... tænk selv videre i scifi-stil).

Det er lidt ligesom vi har accepteret bilnøgler. En bil skal man have en nøgle til. Selvom de faktisk kan fungere fint uden, skal vi bruge nøgler til dem. Og der skal følge 2 med. Der er nu flere hvor der ikke er nøgler men blot en RFID dims man har i lommen (luksusbiler og flere japanske modeller), dog har man backup nøgler...

Nøgler er faktisk det samme problem, vi har rigtig mange af dem. Hvorfor kan jeg ikke have min nøgle, så kan den virke til bilen, derhjemme og på arbejde - de vil da være noget smartere for brugerne. Nu bærer alle brugerne byrden i stedet for en eller flere admins.

Lad os bruge private SSH keys.

  • more_vert
    • insert_linkKopier link
28
Alice Raunsbæk
15. april 2010 kl. 13:29

Har du et forslag til hvad man kunne gøre, i stedet for log-in, til at identificere at brugeren er 'den han/hun påstår'?

(Og så ser man lige mig bruge to forsøg på at huske mit password her til siden...)

  • more_vert
    • insert_linkKopier link
29
Nikolaj Brinch Jørgensen
15. april 2010 kl. 13:48

@Alice Nej det har jeg ikke, men i og med den løsning vi har i dag ikke er specielt smart, og meget tidskrævende (jeg bruger også megen tid på adskillige sider på nettet på at få gensendt passwords, og kan ikke huske mit username, da det var taget eller lignende), så må alle vi kloge IT folk kunne gøre det bedre.

Vi har det jo med at acceptere tingenes tilstand (der er stadigvæk folk der benytter CVS, Subversion, Clearcase mm. selvom Git, Mercurial, Bazaar, Darcs osv. alle er overlegne og ikke koster en dyt).

NemID er ikke løsningen. Men en overordnet SSO løsning vil være at foretrække. Jeg behøver ikke have forskelligt login hos Danske Bank, min Mac Book, mit arbejde osv. Der må kunne laves en løsning hvor alt dette galimatias kan undgås - det koster en farlig masse penge.

  • more_vert
    • insert_linkKopier link
14
Lenny Hansson
14. april 2010 kl. 18:29

Hej En af mine daglige rutiner er password audits for forskelige virksomheder.

En ting jeg ser ofte er at virksomheder bruger for korte passwords, (her snakker vi windows miljø NTLM / NTLMv2 hashes) og med for korte mener jeg 6 - 10 karekterer. Typisk kan man cracke disse passwords meget hurtigt (under 12 timer de første plejer at ryger på få sekunder) det er selvom, det er stor, små bogstaver og tal vel og mærket. Blander man speciel tegn ind i billedet, tager det typisk lidt længere tid men de ryger før end 90 dage.

Jeg mener det er vigtigt at ønsker man password skift hver 90 dage, så bør password politikken også afspejle et password der skal tage mere end 90 dage at bryde, på en alm hurtig pc.

Jeg ville virkelig anbefale at man glemmer passwords og tænker på huske sætninger i stedet for, som typisk er nemmere for en bruger at huske.

Længden i et password er meget afgørende for hvor hurtigt password kan brydes. Dem der typisk ikke bliver brudt er hvis de ligger over 15 karekterer i længden. Her bliver en huske sætning nemmere for brugeren at huske. Min holdning er min. 15 karekterer i længden.

At man ikke benytter svage algoritmer som LM og NTLM men ligger sig på NTLMv2 i windows miljøer.

Noget andet jeg typisk ser er at dem der skifter password ofte har en dårligere intern sikkerhed end der skifter password hver 90 dage.

Jeg lavede for nylig en test på ca 11000 hashes hvor NTLM var benyttet, Store, små bogstaver og tal 97% af alle password var cracket på på under 12 timer. Password kravet var 8 karekterer i længden. Dog blev password med 13 cracket fint.

\Lenny

  • more_vert
    • insert_linkKopier link
12
Jonas Larsen
14. april 2010 kl. 18:11

Er det bare mig eller er det rimeligt oplagt at der er værdi i at skifte kodeord regelmæssigt. I så godt alle virksomheder jeg kender sker det at en medarbejder får en andens medarbejders kodeord at vide, hvis personen er syg og der skal bruges ngoet fra hans konto, eller 117 andre situationer.

Det er naturligvis dumt, og er sikkert forbudt i diverse it-politikker. Men det sker altid på den ene eller anden måde. Ligesom mange brugere ikke bagefter er opmærksomme på at skifte kodeordet til noget.

Derudover kan der være muligheden for at en medarbejder "aflurrer" en kollegas kode, og bruger det til diverse grimme ting. Tvungen skift at kode forhindrer at sådan et scenarie kan fortsætte over længere tid. "Aflurreren" kan anturligvis installere en keylogger osv. men i det tilfælde at det ikke er en it-kyndig person hjælper tvungen password skift som sagt.

Jeg kunne finde på massere af andre eksempler, men pointen er at i den virkelige verden hjælper det altså,om ikke andet så en lille smule, at skifte kodeord.

/Jonas

  • more_vert
    • insert_linkKopier link
17
Peter Mogensen
14. april 2010 kl. 19:09

Er det bare mig eller er det rimeligt oplagt at der er værdi i at skifte kodeord regelmæssigt

Oplagt? Nej. En forventet førstehåndsindskydelse - måske.

Man skal (som andre skriver) ikke være system-admin/IT-supporter ret længe et sted med tvungen password-skift, før man opdager at brugerne omgår det i hobetal. Ofte med en af de klassiske metoder: En post-it på skærmen, eller et simpelt system, som f.eks. at opdatere et tal i slutningen af passwordet (password1, password2,password3...) eller blot (hvis de kan) bytte frem og tilbage mellem de samme 2 passwords.

Man får ikke brugerne til at vælge gode passwords på den måde. Tværtimod. Og burde være kendt for sysadms de sidste 15 år (det var ihvertfald kendt da jeg var IT-supporter for 15 år siden). Derfor er det lidt sjovt at der nu åbenbart skal en "forsker" til at påpege det.

Kom så... mod den ned igen :)

  • more_vert
    • insert_linkKopier link
34
Jakob I. Pagter
15. april 2010 kl. 21:40

Man får ikke brugerne til at vælge gode passwords på den måde. Tværtimod. Og burde være kendt for sysadms de sidste 15 år (det var ihvertfald kendt da jeg var IT-supporter for 15 år siden). Derfor er det lidt sjovt at der nu åbenbart skal en "forsker" til at påpege det

Manden har nu et ganske lødigt CV, så gåseøjnene er ikke nødvendige.

Som det fremgår af den artikel som V2 citerer (formoder jeg: http://www.boston.com/bostonglobe/ideas/articles/2010/04/11/please_do_not_change_your_password/, som iøvrigt er baseret på artiklen her: http://research.microsoft.com/pubs/80436/SoLongAndNoThanks.pdf), så er hans pointe åbenbart ikke hvorvidt det at ændre passwords kan forbedre passwordsikkerheden eller ej, men snarere at gevinsten er for lille ifht. omkostningen.

  • more_vert
    • insert_linkKopier link
35
Lenny Hansson
16. april 2010 kl. 11:26

Hej Stefan

Det er en fejl at tro at man sidder og logger ind via med et utal af forsøg. Dette er ikke brugbart længere da Microsoft har implementeret siden XP SP2 at efter 5 login forsøg vil tiden mellem hvert forsøg blive forhøjet. Samt at mange har en sikkerheds politik der gør at man bliver logget ude efter eks 5 forsøg. Hvilket i virkeligheden er at skabe en farlig mulighed for at lave DOS i ens eget netværk. Dette har jeg eks set flere gange ved malware angreb eks. conficker gjorde dette i mange netværk.

Typisk bliver hashes stjålet ved at en pc bliver inficeret med virus, der stjæler disse hashes. Disse hashes kan der laves brute force angreb imod og disse kan cracke forholdsvis "nemt".

Så brugen af kun et password er yderst farligt. Derfor har Ulf Munkedal ret når han siger at password skift har stor betydning. For eks en bruger der ikke ved at han / hun er inficeret med malware vil et password skift komme yderst belejligt. Jeg er selv stor tilhænger af at alle skal skifte password ofte, også selvom en bruger nogle gange vælger fortløbende numer. Denne logik har jeg endnu ikke set implementeret ind i malware. Kommer dog nok en dag.

Derfor vælger en del virksomheder at få lavet et password audit, for at se hvor gode / stærk password brugerne vælger. Dette kan overfor virksomheden vise om der skal ændres på forskelige politikker mm.

\Lenny

  • more_vert
    • insert_linkKopier link
15
Peter Lind
14. april 2010 kl. 18:43

Jeg kunne finde på massere af andre eksempler, men pointen er at i den virkelige verden hjælper det altså,om ikke andet så en lille smule, at skifte kodeord.

Det ville hjælpe hvis folk faktisk skiftede kodeord og ikke bare ændrede det sidste tal i deres - i forvejen - dårlige password. Men det gør folk meget sjældent. Og derfor er det ret ligegyldigt om du skifter din kode - hvem end der havde luret den før er jo udmærket klar over hvordan den ændrer sig.

  • more_vert
    • insert_linkKopier link
16
Peter Lindemann
14. april 2010 kl. 18:59

Lenny: Kom ud til min virksomhed og følg mig en dag, og kom så ned på jorden, dine fine teorier duer simpelthen ikke i virkeligheden. Praksis er at vi er ved at drukne i password. Vi har f.eks. et skjult regneark med hundredevis af passwords til alle de maskiner vi administrerer, og så kræves det endvidere af os at disse skal skiftes med regelmæssige mellemrum, fordi der er nogle teoretikere der sidder og udtænker nogle disse skifteplaner.

Brug istedet nogle hjernevindinger og udstyr vores maskiner med nogle biometriske passwords eller andet nemt "forhåndenværende" materiale, som kan genbruges overalt, uden at man skal have fat i et eller andet huskerprogram...

  • more_vert
    • insert_linkKopier link
18
Peter Mogensen
14. april 2010 kl. 19:13

Brug istedet nogle hjernevindinger og udstyr vores maskiner med nogle biometriske passwords eller andet nemt "forhåndenværende" materiale, som kan genbruges overalt, uden at man skal have fat i et eller andet huskerprogram..

Æhh... Har I overvejet SSH-nølger? Eller måske et organiseret SSO system som Kerberos? Et regneark med hundredevis af passwords til de maskiner man administrere burde få en hver sysadm til at overveje om man nu også gør det på den rigtige måde.

  • more_vert
    • insert_linkKopier link
20
Lasse Lykkegaard
14. april 2010 kl. 20:47

Jeg tænker på de over 80 passwords jeg har skrevet ned i et krypteret dokument - de vigtige bank, digital signatur mv er ikke skrevet ned. Men alle har forskellige krav, mindst 1 tal, ingen STORE bogstaver maks 15 karakterer, min 12 karakterer, må ikke starte med tal, må ikke indeholde special tegn, skal indeholde special tegn. Det ville være umuligt at huske alle sammen. Jeg hader også passwordskift, er begyndet at sætte tal efter det lange svære password... Heu9049/()#53og1 Heu9049/()#53og2 ellers går det galt.

  • more_vert
    • insert_linkKopier link
19
Lenny Hansson
14. april 2010 kl. 20:47

Hej Peter Du skal forholde dig til det jeg skriver. Det handler ikke om hvor dårligt du rent faktisk administrer dit netværk. Og nej jeg er ikke tilhænger af singel sign on.

Mhv Lenny

  • more_vert
    • insert_linkKopier link
21
Peter Lindemann
14. april 2010 kl. 21:01

Jeg forholder mig netop til det du skriver i forhold til artiklen. Artiklen handler om passwordtyranniet, og du forholder dig teoretisk til krypterings niveau'er hvilket er den grøft der har fået mangen en chef der ikke fatter en dyt til at lytte til det der er mest teknisk istedet for at forholde sig til en praktisk hverdag.

Jeg går heller ikke nødvendigvis ind for single sign-on, det kan være praktisk i virksomheder med mange systemer, men kan også komplicere upgrades osv.

Det jeg efterlyser er en debat, eller løsning på hvordan vi hver især identificerer os overfor et stigende antal it-systemer, som isoleret set har et sikkert og brugbart kodeordssystem, uden at gå på kompromis med sikkerheden og som kan beskytte os mod identitetstyveri.

Tag ikke fejl, jeg er ikke gammeldags "it-stormer" og mod alting, tværtimod er jeg typisk nørd og vild med alt it, jeg er bare grundigt træt af at huske passwords...

  • more_vert
    • insert_linkKopier link
22
Rune Juhl-Petersen
14. april 2010 kl. 22:45

Jeg kan sagtens huske et kompliceret password. Jeg kan også sagtens håndtere at skulle finde på et nyt en gang imellem. Desværre kan jeg ikke nøjes med at huske et password, men skal huske en hel række passwords for at klare dagligdagen. Mange af systemerne jeg skal tilgå har forskellige algoritmer for hvilke passwords der accepteres, hvornår de skal skiftes og om man må genbruge passwords fra tidligere. Der er flere systemer hvor jeg har opgivet det og ringer til helpdesk hver gang jeg skal bruge systemerne for at få et nyt password.

Problematikken mht. passwords er ikke kun af teknologisk karakter. Menneskelige egenskaber spiller en stor rolle, og hvis der er noget, de fleste mennesker er dårlige til er det at huske lange rækker af tilfældige kombinationer af tegn og tal. Jeg er stor fortaler for single sign on, for jeg mener helt ærligt jeg har mere spændende ting at bruge min tid på end at huske passwords.

http://dotnetexception.blogspot.com/2010/01/password-nightmare.html

  • more_vert
    • insert_linkKopier link
24
Stefan Fuglsang
15. april 2010 kl. 08:49

Store, små bogstaver og tal 97% af alle password var cracket på på under 12 timer. Password kravet var 8 karekterer i længden. Dog blev password med 13 cracket fint.

Hvorfor accepterer passwordbeskyttede systemer forsøg på at cracke password? Er det ikke muligt at designe brugbare systemer, der ikke tillader dette? Almindelige brugere sidder ikke og prøver at logge ind i 12 timer i træk?

  • more_vert
    • insert_linkKopier link
25
Nikolaj Brinch Jørgensen
15. april 2010 kl. 09:27

Password tyranniet er en teoretisk sikkerhed. Den er uinteressant for alle andre end administratoren, derfor gider ingen andre end administratoren at tillægge den nogen positiv værdi. Hvis den bliver besværlig og en klods om benet, lave folk et system uden om den, så den bliver nemmere at bruge. Passwords på 15 tegn eller mere er sikkert fikst set fra en sikkerheds konsulents side, eller administratoren, men det er fuldstændig håbløst set fra brugerens side, og sikkerhedsmæssigt er det sikkert det bliver til postit notes og tekstfiler/regneark mv. hvor det bliver skrevet i. Økonomisk er det også vældig håbløst, da der bliver brugt uforsvarlig meget krudt på glemte passwords mv.

Husk hvorfor vi laver IT, det er for brugeren, og administratoren er et nødvendigt onde.

Det kan også undre hvorfor det er så svært for virksomheder at implementere ordentlige SSO løsninger eller bruge SSH keys? Også IT virksomheder som burde vide at dette har stor værdi.

  • more_vert
    • insert_linkKopier link
13
Nicolai Klausen
14. april 2010 kl. 18:19

Derudover kan der være muligheden for at en medarbejder "aflurrer" en kollegas kode, og bruger det til diverse grimme ting.

En postitnote på siden af skærmen er meget lettere at "aflurrer", end at skulle kigge kollegaen over skulderen...

  • more_vert
    • insert_linkKopier link
4
Ulrik Rasmussen
14. april 2010 kl. 14:38

Hvis man har behov for at brugerne skal skifte løsen hele tiden, så har man vist et helt andet, mere grundlæggende, problem med sin sikkerhed.

Hvis ens brugere er den slags mennesker der ikke kan finde ud af at passe på sine løsener, så må den bedste løsning være at skifte til en anden autentifikationsmetode der benytter sig af tokens eller lignende.

  • more_vert
    • insert_linkKopier link