Forsker: Tvungen passwordskift er brugerchikane - og giver ikke mere sikkerhed

Det er spild af arbejdstid, når medarbejdere tvinges til at skifte adgangskoder, set i forhold til den sikkerhed det giver. Det er langt vigtigere at vælge en en god adgangskode, mener Microsoft-forsker.

Når du hyppigt bliver bedt om at skifte adgangskoder på websteder og andre login-tjenester, så er det faktisk spild af tid og penge målt i forhold til sikkerhedsgevinsten. Det mener Microsoft-forsker Cormac Herley, som har set nærmere på de skjulte omkostninger ved it-sikkerhedsforanstaltninger.

I en rapport konkluderer han, at især politikken med hyppigt at skifte kodeord ikke giver tilstrækkelig værdi i forhold til, at medarbejderne skal bruge tid på det. Det skriver avisen Boston Globe.

Hyppige skift af kodeord giver nemlig ifølge Cormac Herley ikke nogen beskyttelse mod misbrug, medmindre brugeren når at skifte adgangskode i tidsrummet fra en hacker får fat i kodeordet, og til det bliver udnyttet.

I stedet for hyppige skift er det derfor langt vigtigere, at brugerne fra starten vælger sikre adgangskoder, der ikke er lette at gætte for en hacker.

Cormac Herley baserer sin konklusion på, at en hacker vil anvende kodeordet med det samme, men der er dog eksempler på eksempelvis tyveri af koder til netbanker, hvor de kriminelle venter et godt stykke tid, før de lænser selve kontoen.

Direktør Ulf Munkedal fra sikkerhedsfirmaet Fort Consult er enig i, at et godt password er langt mere vigtigt, selvom skift af koder også i sig selv kan have stor værdi.

»Det kommer an på, hvilke systemer det drejer sig om, hvem der har adgang til dem, og hvordan kulturen i virksomheden er,« siger Ulf Munkedal.

Eksempelvis kan it-afdelingen i en virksomhed med en salgskultur være nødt til at være mere strikse med at håndhæve en passwordpolitik, fordi medarbejderne fokuserer på tempo. I en bank kan it-afdelingen derimod oftere overlade det mere til medarbejderne, fordi kulturen i forvejen er bygget op omkring at passe på data.

»Man skal finde den gyldne middelvej, der passer til éns egen virksomhed. Passwordskift i sig selv har stor værdi, men gode passwords er langt mere vigtigt. Og det er også vigtigt at få systemerne til at håndhæve, at brugerne vælger gode passwords,« siger Ulf Munkedal.

Han anbefaler, at man især understreger over for sine brugere, at de ikke skal bruge de samme kodeord til virksomhedens systemer, som de bruger til deres private tjenester.

Helt konkret bør man vælge et unikt og stærkt kodeord til henholdsvis sit virksomhedslogin, netbank og digital signatur. Til gengæld kan man genbruge et standardkodeord til websteder, hvor man ikke har fortrolige data liggende.

I virksomheden bør man alt efter kulturen sætte systemet op til at bede om nye koder med et sted mellem 30 og 90 dages mellemrum. Det gælder om at finde en balance, hvor brugerne ikke begynder at omgå intentionerne ved sikkerhedspolitikken.

»Hvis man beder folk skifte for hyppigt, så begynder der at gå system i folks passwords, så det bliver eksempelvis Olsen1, Olsen2, Olsen3 og så videre,« siger Ulf Munkedal.'

Hvordan er password-politikken i din virksomhed? Skriv i debatten nedenfor.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (35)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ole Tange Blogger

Jeg vælger normalt passwords, som er svære at gætte. Derfor bliver jeg generet, når systemer er så tåbelige, at de ikke accepter passwords som:

¤X'\ }"!£x9
';delete from Users;'$

Hvis du har lavet et system, som ikke accepterer oventstående som adgangskoder, gider du så ikke godt lave dit system om?

  • 0
  • 0
Venligst Slet Min Bruger

Jeg har bevidst slået tvungen password-skift fra lokalt. Ved vores remote host har jeg ingen indflydelse, og der skal det skiftes hver 3. måned mener jeg.. og folk hader det som pesten.

Og når der også er passwords til diverse andre systemer, så er vi ude i, at de bliver skrevet ned eller bliver som nævnt i artiklen "olsen1", "olsen2", "olsen3" osv.

  • 0
  • 0
Ulrik Rasmussen

Hvis man har behov for at brugerne skal skifte løsen hele tiden, så har man vist et helt andet, mere grundlæggende, problem med sin sikkerhed.

Hvis ens brugere er den slags mennesker der ikke kan finde ud af at passe på sine løsener, så må den bedste løsning være at skifte til en anden autentifikationsmetode der benytter sig af tokens eller lignende.

  • 0
  • 0
Peter Andersen

Grafikken til artiklen ligner et screenshot fra NemID. Er det tanken at NemID skal kræver tvungen password skift? Det er en dum idé. Hvor jeg skal bestille toner (suk) skal jeg ændre password hver måned, og de nye passwords må ikke ligne de gamle. Gæt om jeg bliver nødt til at skrive dem ned for at huske dem..

  • 0
  • 0
Nikolaj Brinch Jørgensen

Det sørgelige er bare at nutidens store virksomheder i DK alle forlanger at man skal ændre sit password 1 gang om måneden eller 1 gang hver 3. måned. Det er super belastende og giver ingen sikkerhed overhovedet.

Der er generelt en syg opfattelse af hvad sikkerhed er på mange IT arbejdspladser.

  • 0
  • 0
Patrick Moog

"Passwordskift i sig selv har stor værdi" Citat: Ulf Munkedal dog giver han ikke et eneste eksempel på hvilken værdi det skulle være?
Han bruger eksemplet at det vil være godt for en virksomhed der har fokus på tempo. Ok en medarbejder kommer til at lække et password, hvad hjælper det så at et tvunget password skift kommer en måned senere?

  • 0
  • 0
Peter Lindemann

På en god dag kan jeg snildt komme ud for at bruge mit password op til 100 gange som kvittering i systemer der er kraftigt reguleret og derfor kræver elektronisk signatur hver gang. Jeg er også udsat for passwordkiftetyranniet, og et utal af administratorkonti, benzinkort, websteder osv, I kender det sikkert. Det er på tide at nogen tager en grundig tænker, for det er menneskeligt komplet umuligt at overskue med mindre man forsimpler, og hermed kompromitterer sikkerheden. Hvem fejler så systemerne eller mig? Det er i hvert fald ikke mig ...

  • 0
  • 0
Jonas Larsen

Er det bare mig eller er det rimeligt oplagt at der er værdi i at skifte kodeord regelmæssigt. I så godt alle virksomheder jeg kender sker det at en medarbejder får en andens medarbejders kodeord at vide, hvis personen er syg og der skal bruges ngoet fra hans konto, eller 117 andre situationer.

Det er naturligvis dumt, og er sikkert forbudt i diverse it-politikker. Men det sker altid på den ene eller anden måde. Ligesom mange brugere ikke bagefter er opmærksomme på at skifte kodeordet til noget.

Derudover kan der være muligheden for at en medarbejder "aflurrer" en kollegas kode, og bruger det til diverse grimme ting. Tvungen skift at kode forhindrer at sådan et scenarie kan fortsætte over længere tid. "Aflurreren" kan anturligvis installere en keylogger osv. men i det tilfælde at det ikke er en it-kyndig person hjælper tvungen password skift som sagt.

Jeg kunne finde på massere af andre eksempler, men pointen er at i den virkelige verden hjælper det altså,om ikke andet så en lille smule, at skifte kodeord.

/Jonas

  • 0
  • 0
Nicolai Klausen

Derudover kan der være muligheden for at en medarbejder "aflurrer" en kollegas kode, og bruger det til diverse grimme ting.

En postitnote på siden af skærmen er meget lettere at "aflurrer", end at skulle kigge kollegaen over skulderen...

  • 0
  • 0
Lenny Hansson

Hej
En af mine daglige rutiner er password audits for forskelige virksomheder.

En ting jeg ser ofte er at virksomheder bruger for korte passwords, (her snakker vi windows miljø NTLM / NTLMv2 hashes) og med for korte mener jeg 6 - 10 karekterer. Typisk kan man cracke disse passwords meget hurtigt (under 12 timer de første plejer at ryger på få sekunder) det er selvom, det er stor, små bogstaver og tal vel og mærket. Blander man speciel tegn ind i billedet, tager det typisk lidt længere tid men de ryger før end 90 dage.

Jeg mener det er vigtigt at ønsker man password skift hver 90 dage, så bør password politikken også afspejle et password der skal tage mere end 90 dage at bryde, på en alm hurtig pc.

Jeg ville virkelig anbefale at man glemmer passwords og tænker på huske sætninger i stedet for, som typisk er nemmere for en bruger at huske.

Længden i et password er meget afgørende for hvor hurtigt password kan brydes. Dem der typisk ikke bliver brudt er hvis de ligger over 15 karekterer i længden. Her bliver en huske sætning nemmere for brugeren at huske. Min holdning er min. 15 karekterer i længden.

At man ikke benytter svage algoritmer som LM og NTLM men ligger sig på NTLMv2 i windows miljøer.

Noget andet jeg typisk ser er at dem der skifter password ofte har en dårligere intern sikkerhed end der skifter password hver 90 dage.

Jeg lavede for nylig en test på ca 11000 hashes hvor NTLM var benyttet, Store, små bogstaver og tal 97% af alle password var cracket på på under 12 timer. Password kravet var 8 karekterer i længden. Dog blev password med 13 cracket fint.

\Lenny

  • 0
  • 0
Peter Lind

Jeg kunne finde på massere af andre eksempler, men pointen er at i den virkelige verden hjælper det altså,om ikke andet så en lille smule, at skifte kodeord.

Det ville hjælpe hvis folk faktisk skiftede kodeord og ikke bare ændrede det sidste tal i deres - i forvejen - dårlige password. Men det gør folk meget sjældent. Og derfor er det ret ligegyldigt om du skifter din kode - hvem end der havde luret den før er jo udmærket klar over hvordan den ændrer sig.

  • 0
  • 0
Peter Lindemann

Lenny: Kom ud til min virksomhed og følg mig en dag, og kom så ned på jorden, dine fine teorier duer simpelthen ikke i virkeligheden. Praksis er at vi er ved at drukne i password. Vi har f.eks. et skjult regneark med hundredevis af passwords til alle de maskiner vi administrerer, og så kræves det endvidere af os at disse skal skiftes med regelmæssige mellemrum, fordi der er nogle teoretikere der sidder og udtænker nogle disse skifteplaner.

Brug istedet nogle hjernevindinger og udstyr vores maskiner med nogle biometriske passwords eller andet nemt "forhåndenværende" materiale, som kan genbruges overalt, uden at man skal have fat i et eller andet huskerprogram...

  • 0
  • 0
Peter Mogensen

Er det bare mig eller er det rimeligt oplagt at der er værdi i at skifte kodeord regelmæssigt

Oplagt? Nej.
En forventet førstehåndsindskydelse - måske.

Man skal (som andre skriver) ikke være system-admin/IT-supporter ret længe et sted med tvungen password-skift, før man opdager at brugerne omgår det i hobetal. Ofte med en af de klassiske metoder: En post-it på skærmen, eller et simpelt system, som f.eks. at opdatere et tal i slutningen af passwordet (password1, password2,password3...) eller blot (hvis de kan) bytte frem og tilbage mellem de samme 2 passwords.

Man får ikke brugerne til at vælge gode passwords på den måde. Tværtimod.
Og burde være kendt for sysadms de sidste 15 år (det var ihvertfald kendt da jeg var IT-supporter for 15 år siden). Derfor er det lidt sjovt at der nu åbenbart skal en "forsker" til at påpege det.

Kom så... mod den ned igen :)

  • 0
  • 0
Peter Mogensen

Brug istedet nogle hjernevindinger og udstyr vores maskiner med nogle biometriske passwords eller andet nemt "forhåndenværende" materiale, som kan genbruges overalt, uden at man skal have fat i et eller andet huskerprogram..

Æhh...
Har I overvejet SSH-nølger?
Eller måske et organiseret SSO system som Kerberos?
Et regneark med hundredevis af passwords til de maskiner man administrere burde få en hver sysadm til at overveje om man nu også gør det på den rigtige måde.

  • 0
  • 0
Lasse Lykkegaard

Jeg tænker på de over 80 passwords jeg har skrevet ned i et krypteret dokument - de vigtige bank, digital signatur mv er ikke skrevet ned.
Men alle har forskellige krav, mindst 1 tal, ingen STORE bogstaver maks 15 karakterer, min 12 karakterer, må ikke starte med tal, må ikke indeholde special tegn, skal indeholde special tegn. Det ville være umuligt at huske alle sammen.
Jeg hader også passwordskift, er begyndet at sætte tal efter det lange svære password... Heu9049/()#53og1 Heu9049/()#53og2 ellers går det galt.

  • 0
  • 0
Peter Lindemann

Jeg forholder mig netop til det du skriver i forhold til artiklen. Artiklen handler om passwordtyranniet, og du forholder dig teoretisk til krypterings niveau'er hvilket er den grøft der har fået mangen en chef der ikke fatter en dyt til at lytte til det der er mest teknisk istedet for at forholde sig til en praktisk hverdag.

Jeg går heller ikke nødvendigvis ind for single sign-on, det kan være praktisk i virksomheder med mange systemer, men kan også komplicere upgrades osv.

Det jeg efterlyser er en debat, eller løsning på hvordan vi hver især identificerer os overfor et stigende antal it-systemer, som isoleret set har et sikkert og brugbart kodeordssystem, uden at gå på kompromis med sikkerheden og som kan beskytte os mod identitetstyveri.

Tag ikke fejl, jeg er ikke gammeldags "it-stormer" og mod alting, tværtimod er jeg typisk nørd og vild med alt it, jeg er bare grundigt træt af at huske passwords...

  • 0
  • 0
Rune Juhl-Petersen

Jeg kan sagtens huske et kompliceret password. Jeg kan også sagtens håndtere at skulle finde på et nyt en gang imellem. Desværre kan jeg ikke nøjes med at huske et password, men skal huske en hel række passwords for at klare dagligdagen. Mange af systemerne jeg skal tilgå har forskellige algoritmer for hvilke passwords der accepteres, hvornår de skal skiftes og om man må genbruge passwords fra tidligere. Der er flere systemer hvor jeg har opgivet det og ringer til helpdesk hver gang jeg skal bruge systemerne for at få et nyt password.

Problematikken mht. passwords er ikke kun af teknologisk karakter. Menneskelige egenskaber spiller en stor rolle, og hvis der er noget, de fleste mennesker er dårlige til er det at huske lange rækker af tilfældige kombinationer af tegn og tal. Jeg er stor fortaler for single sign on, for jeg mener helt ærligt jeg har mere spændende ting at bruge min tid på end at huske passwords.

http://dotnetexception.blogspot.com/2010/01/password-nightmare.html

  • 0
  • 0
Jacob Christian Munch-Andersen

Uagtet overvejelser om den reelle sikkerhedsværdi, så er der en bemærkelsesværdig lighed mellem passwordskift regler og regler for hvilke harmløse genstande man ikke må medbringe på en flyver.

Det er besværligt, og derfor er det synlig "sikkerhed". Det er ledelsen eller den lokale BOFH som får noget synligt sikkerhed.

De burde investere i en token løsning, ikke blot kan en sådan løse omtrent samtlige problemer med standard passwords, den er også synlig. Desværre er udgifterne også synlige, og selvom de ikke nødvendigvis er større end de usynlige udgifter forbundet med det almindelige sikkerhedscirkus, så bliver det typisk showstopperen for den ide.

Der er flere systemer hvor jeg har opgivet det og ringer til helpdesk hver gang jeg skal bruge systemerne for at få et nyt password.

Og her opbygges der så stille og roligt potentiale for et social engineering angreb mod helpdesk.

  • 0
  • 0
Stefan Fuglsang

>>Store, små bogstaver og tal 97% af alle password var cracket på på under 12 timer. Password kravet var 8 karekterer i længden. Dog blev password med 13 cracket fint.

Hvorfor accepterer passwordbeskyttede systemer forsøg på at cracke password? Er det ikke muligt at designe brugbare systemer, der ikke tillader dette?
Almindelige brugere sidder ikke og prøver at logge ind i 12 timer i træk?

  • 0
  • 0
Nikolaj Brinch Jørgensen

Password tyranniet er en teoretisk sikkerhed.
Den er uinteressant for alle andre end administratoren, derfor gider ingen andre end administratoren at tillægge den nogen positiv værdi.
Hvis den bliver besværlig og en klods om benet, lave folk et system uden om den, så den bliver nemmere at bruge.
Passwords på 15 tegn eller mere er sikkert fikst set fra en sikkerheds konsulents side, eller administratoren, men det er fuldstændig håbløst set fra brugerens side, og sikkerhedsmæssigt er det sikkert det bliver til postit notes og tekstfiler/regneark mv. hvor det bliver skrevet i.
Økonomisk er det også vældig håbløst, da der bliver brugt uforsvarlig meget krudt på glemte passwords mv.

Husk hvorfor vi laver IT, det er for brugeren, og administratoren er et nødvendigt onde.

Det kan også undre hvorfor det er så svært for virksomheder at implementere ordentlige SSO løsninger eller bruge SSH keys? Også IT virksomheder som burde vide at dette har stor værdi.

  • 0
  • 0
Gregor Giebel

Jeg har gode erfaringer med CryptoCardExplorer. Den er en af de mange password husker, men i modsætning til så mange som kun virker på en bestemt OS, kan den køre på både Windows og Windows Mobile. Så kan man holde sine passwords synkroniseret, og har dem altid med (hvis man altså arbejder på Windows, og synkroniserer sin Windows Mobile telefon).

Kuckst du hier:
http://www.pocketpcfreeware.com/en/index.php?soft=958

  • 0
  • 0
Nikolaj Brinch Jørgensen

Derfor laves der super mange løsninger som går ud på at omgå denne fejl, i stedet for simpelthen at fjerne fejlen. Password og skift heraf var version 1.0, at vi ikke er kommet videre er skræmmende. Det er en tidsrøver og en fejl-teknologi, som nogle skulle bruge noget tid på at lave om.
Vi har nu accepteret at der ikke skal ske innovation inden for dette område, og lever med problemerne som om det er nødvendigt.
Hele dette område trænger til en ordentlig omgang eftersyn og innovation.
De fleste råd og det meste vejledning er legacy og bagstræberisk og basere sig udelukkende på as-is - og har ingen vision for to-be, som egentlig kendetegner området.

Det er sørgeligt, men det er nu sådan det een gang er.

  • 0
  • 0
Alice Raunsbæk

Har du et forslag til hvad man kunne gøre, i stedet for log-in, til at identificere at brugeren er 'den han/hun påstår'?

(Og så ser man lige mig bruge to forsøg på at huske mit password her til siden...)

  • 0
  • 0
Nikolaj Brinch Jørgensen

@Alice
Nej det har jeg ikke, men i og med den løsning vi har i dag ikke er specielt smart, og meget tidskrævende (jeg bruger også megen tid på adskillige sider på nettet på at få gensendt passwords, og kan ikke huske mit username, da det var taget eller lignende), så må alle vi kloge IT folk kunne gøre det bedre.

Vi har det jo med at acceptere tingenes tilstand (der er stadigvæk folk der benytter CVS, Subversion, Clearcase mm. selvom Git, Mercurial, Bazaar, Darcs osv. alle er overlegne og ikke koster en dyt).

NemID er ikke løsningen. Men en overordnet SSO løsning vil være at foretrække. Jeg behøver ikke have forskelligt login hos Danske Bank, min Mac Book, mit arbejde osv. Der må kunne laves en løsning hvor alt dette galimatias kan undgås - det koster en farlig masse penge.

  • 0
  • 0
Alice Raunsbæk

@Nikolaj
Hmmm, jeg tænker at der jo er nogle af de her login-ting, der bruger hhv. finger aftryk-scanner og kamera (billede af dit ansigt). Jeg forestiller mig at der må findes noget tilsvarende til stemme gen-kendelse.

De sidste to har dog ikke blot den ulempe at de kræver hardware, men også at de er afhængig af noget, der kan ændre sig (hvis du får dårlig hals, eller hvis vi har bandager i fjæset - eller en virkelig ekstrem make-up)
På den positive side, så kan de i nogen grad ændre sig.

Finger-aftryk vil også kræve hardware, men med mindre du mishandler eller mister dine fingre, så skulle de være nogen lunde til at bruge.
På den negative side, så kan du ikke ændre dem, hvis nogen skulle finde en måde at kopiere det på.
(Tænker her på et afsnit af MythBusters, hvor de havde stor success med at snyde finger-aftryks-scannere)

Ang. brugernavn bør det dog være muligt at finde på noget forholdsvis unikt. Hvis du laver noget der indeholder land, fødselsdato, navn og måske fødeby - så tror jeg du skal være pænt uheldig for at få sammenfald. (Jeg er selv lidt heldig på det punkt, da jeg øjensynligt er den eneste med lige mit navn =0P)

Hvis man vil undgå at skulle huske flere passwords, så tror jeg dog ikke at vi kan komme uden om noget som enten er singel sign on eller noget som er person-specifikt (ansigt, øjne, fingre, stemme - mere avancerede; blodcirkulation i hænderne, dna... tænk selv videre i scifi-stil).

  • 0
  • 0
Nikolaj Brinch Jørgensen

@Alice
Ja du har ret, vi skal et sted hen hvor den måde vi tilkendegiver os overfor computeren ændres. Vi skal så bare sørge for at retsikkerheden er i orden, det skal være revocable, så hvis det kopieres/forfalskes kan det laves om (det er svært med biometri alene).

Ang. brugernavn bør det dog være muligt at finde på noget forholdsvis unikt. Hvis du laver noget der indeholder land, fødselsdato, navn og måske fødeby - så tror jeg du skal være pænt uheldig for at få sammenfald.

Ja det er rigtigt, men så har jeg oplyst mange data (personlige), som jeg ikke er interesseret i. Derudover ser det fjollet og åndsvagt ud på fora at man hedder super mærkelige ting, fordi der er en 1 til 1 mellem login navn og alias (hvilket jo også er en fejl).

Hvis man vil undgå at skulle huske flere passwords, så tror jeg dog ikke at vi kan komme uden om noget som enten er singel sign on eller noget som er person-specifikt (ansigt, øjne, fingre, stemme - mere avancerede; blodcirkulation i hænderne, dna... tænk selv videre i scifi-stil).

Det er lidt ligesom vi har accepteret bilnøgler. En bil skal man have en nøgle til. Selvom de faktisk kan fungere fint uden, skal vi bruge nøgler til dem. Og der skal følge 2 med. Der er nu flere hvor der ikke er nøgler men blot en RFID dims man har i lommen (luksusbiler og flere japanske modeller), dog har man backup nøgler...

Nøgler er faktisk det samme problem, vi har rigtig mange af dem. Hvorfor kan jeg ikke have min nøgle, så kan den virke til bilen, derhjemme og på arbejde - de vil da være noget smartere for brugerne. Nu bærer alle brugerne byrden i stedet for en eller flere admins.

Lad os bruge private SSH keys.

  • 0
  • 0
Jakob I. Pagter

Man får ikke brugerne til at vælge gode passwords på den måde. Tværtimod. Og burde være kendt for sysadms de sidste 15 år (det var ihvertfald kendt da jeg var IT-supporter for 15 år siden). Derfor er det lidt sjovt at der nu åbenbart skal en "forsker" til at påpege det

Manden har nu et ganske lødigt CV, så gåseøjnene er ikke nødvendige.

Som det fremgår af den artikel som V2 citerer (formoder jeg: http://www.boston.com/bostonglobe/ideas/articles/2010/04/11/please_do_no..., som iøvrigt er baseret på artiklen her: http://research.microsoft.com/pubs/80436/SoLongAndNoThanks.pdf), så er hans pointe åbenbart ikke hvorvidt det at ændre passwords kan forbedre passwordsikkerheden eller ej, men snarere at gevinsten er for lille ifht. omkostningen.

  • 0
  • 0
Lenny Hansson

Hej Stefan

Det er en fejl at tro at man sidder og logger ind via med et utal af forsøg. Dette er ikke brugbart længere da Microsoft har implementeret siden XP SP2 at efter 5 login forsøg vil tiden mellem hvert forsøg blive forhøjet. Samt at mange har en sikkerheds politik der gør at man bliver logget ude efter eks 5 forsøg. Hvilket i virkeligheden er at skabe en farlig mulighed for at lave DOS i ens eget netværk. Dette har jeg eks set flere gange ved malware angreb eks. conficker gjorde dette i mange netværk.

Typisk bliver hashes stjålet ved at en pc bliver inficeret med virus, der stjæler disse hashes. Disse hashes kan der laves brute force angreb imod og disse kan cracke forholdsvis "nemt".

Så brugen af kun et password er yderst farligt. Derfor har Ulf Munkedal ret når han siger at password skift har stor betydning. For eks en bruger der ikke ved at han / hun er inficeret med malware vil et password skift komme yderst belejligt. Jeg er selv stor tilhænger af at alle skal skifte password ofte, også selvom en bruger nogle gange vælger fortløbende numer. Denne logik har jeg endnu ikke set implementeret ind i malware. Kommer dog nok en dag.

Derfor vælger en del virksomheder at få lavet et password audit, for at se hvor gode / stærk password brugerne vælger. Dette kan overfor virksomheden vise om der skal ændres på forskelige politikker mm.

\Lenny

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Når du hyppigt bliver bedt om at skifte adgangskoder på websteder og andre login-tjenester, så er det faktisk spild af tid og penge målt i forhold til sikkerhedsgevinsten. Det mener Microsoft-forsker Cormac Herley, som har set nærmere på de skjulte omkostninger ved it-sikkerhedsforanstaltninger. I en
rapport konkluderer han, at især politikken med hyppigt at skifte kodeord ikke giver tilstrækkelig værdi i forhold til, at medarbejderne skal bruge tid på det. Det skriver avisen Boston Globe. Hyppige skift af kodeord giver nemlig ifølge Cormac Herley ikke nogen beskyttelse mod misbrug, medmindre brugeren når at skifte adgangskode i tidsrummet fra en hacker får fat i kodeordet, og til det b...