Kompliceret og usammenhængende password-politik? Så synes dine brugere nok, du er idiot

Det nytter ikke have komplicerede regler for kodeord på organisationens Windows-maskiner, og ingen regler for kodeord på diverse cloudtjenester.

Måske er koden til din Windows-maskine 'Maj0123456789'. Og måske skyldes det et krav i organisationen om, at kodeordet til Windows-login'et skal være på mindst 15 karakterer og indeholde tal samt små og store bogstaver.

Og måske skal kodeordet skiftes en gang om måneden af 'sikkerhedshensyn', samtidigt med at det ikke må være for identisk med de to foregående kodeord. Den form for password-politik kan være en dårlig idé.

Jeg har ført krig mod obligatoriske password-skift, siger it-sikkerhedsrådgiver Per Thorsheim Illustration: Per Thorsheim, LinkedIn

»Jeg er på en mission. Jeg har ført krig mod obligatoriske password-skift. Det er den primære grund til, at folk har rigtigt dårlige passwords,« siger Per Thorsheim fra det norske it-sikkerhedsforetagende GodPraksis.

Per Thorsheim slår til lyd for, at brugerne i stedet bliver bedt om at vælge et langt password, gerne en sætning. Og at dette eventuelt bliver suppleret med en form for 2-faktor-login.

»Hvis du gør det, så behøver du aldrig skifte dit kodeord igen. Medmindre vi ved med sikkerhed, at dit kodeord er blevet kompromitteret.«

Kodeord kan svække sikkerhed

Head of Security og Technology hos PWC Mads Nørgaard Madsen peger også på password-kompleksitet som en udfordring - også blandt danske organisationer.

»Passwords er noget af det, der fylder rigtigt meget i virksomhederne, fordi folk arbejder med det hver dag.«

Mads Nørgaard forklarer, at de fleste godt ved, at passwordet 1234 nok ikke er en holdbar løsning, men dermed ikke sagt, at det er en god idé med krav om alt for hyppige skift af komplicerede passwords.

»En sikkerhedsmand vil sige, at det er da meget bedre, men vi har altså med mennesker at gøre.«

Lange, komplicerede passwords, der ofte skal skiftes, er svære at huske for almindelige mennesker, og den form for kodeord kan i udgangspunktet og helt modsat intentionen svække sikkerheden i organisationer, fortæller Mads Nørgaard Madsen.

»Og så får vi de her situationer med post-its, og det er der ingen, der ønsker.«

Situationen med gule sedler med kodeord er blot et eksempel på nogle af de krumspring brugerne kan finde på, når sikkerhedstiltagene i it-afdelingen bliver for rigide.

Per Thorsheim peger på, at brugerne har et job, de skal udføre, og at det er vigtigere end at være compliant med virksomhedens sikkerhedspolitik.

»I et worst-case scenarie, så vil du se brugere, der bevidst prøver at knække virksomhedens sikkerhedspolitik. Ikke bare password-politiken, men hele sikkerhedspolitikken, fordi de synes, reglerne er for strikse, for besværlige og umulige at overholde. Og de synes også, at sikkerhedsfolkene simpelthen er idioter,« siger han.

For at undgå sådan en situation, så anbefaler Per Thorsheim, at it-afdelingen indgår i dialog med brugerne om, hvordan eksempelvis 2-faktor autentifikation kan implementeres, så det generer folk mindst muligt, men samtidig styrker sikkerheden.

Hvad med resten af kodeordene?

Samtidig med, at der kan være vilde krav til kodeord på en Windows-klientmaskine, så er der måske slet ingen password-politik fra organisationens side, hvad diverse web-vendte tjenester angår.

Mads Nørgaard Madsen vurderer, at mange virksomheder helt mangler regler for kodeord til online-tjenester som Facebook, Twitter, Google-apps, CMS'et, et cloudbaseret CRM osv.

»Hvis der ikke bliver tænkt holistisk, så får man en dør, der er lavet af panser, mens resten af huset er lavet af pap og vinduerne står åbne,« siger han.

Mads Nørgaard Madsen anbefaler, at organisationen indfører et system til identity management. Det vil sige en softwareløsning til håndtering af brugeres adgang på tværs af teknologier. Uanset om der er tale om systemet til dørstyring eller til Facebook. Det gør det også nemmere at tilbagekalde rettigheder.

»Når man stopper, så er rettighederne væk,« siger Mads Nørgaard Madsen

I udgangspunktet mener Per Thorsheim også, at et system til identity management kan være en god idé.

Dog, påpeger han, skal man være opmærksom på, at sådan et system ikke nødvendigvis omfatter udstyr som eksempelvis backend-servere, routere og firewalls. Og på de elementer, skal der selvsagt også være styr på autentifikations-politiken.

Per Thorsheim mener, at organisationer generelt bør kortlægge de forskellige krav til login på de tjenester, organisationen bruger. Det indebærer at skrive kravene ned per tjeneste for derved at få et overblik over, om der er sammenhæng mellem tjenesternes vigtighed og kravene til login.

Men det sker måske først, når det er for sent. I hvert fald oplever Mads Nørgaard Madsen, at danske organisationer og virksomheder først rigtigt begynder at forholde sig til udfordringer i forhold til autentifikation, når det er gået galt.

»De virksomheder, der har været ramt - der er ingen tvivl om, at fra den dag, de har været ramt, så investerer de fuldt ud, men det er måske lidt sent.«

Blog fra Per Thorsheim: Why you shouldn't change your passwords regulary

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kirk

Min arbejdsplads har en af disse gakkede password politiker, hvilket har medført at alle har xxxxxxx12 xxxxxx13 xxxxxxx14 osv som password.
Vi skifter hver 60dag.

Nogle få har rigtige passwords..

Endnu værre er det at vi har 3 wifi kanaler hvor dén til usikre devices er den sværeste at huske og det dårligste net.. Hvilket gør at folk bruger det interne til deres egen mobil...

FFS

  • 11
  • 0
Yoel Caspersen Blogger

Jeg arbejder ofte med amerikanske virksomheder, og de fleste af dem lider stadig af den vrangforestilling, at "sikkerhedsspørgsmål" er sikre.

Fx: Hvad er din mors pigenavn, hvor blev du født, hvad hedder din kat etc.

I disse Facebook-tider er det åbent og gabende sikkerhedshul. Den ansvarlige bruger vil derfor udvikle et system, hvor svaret på disse spørgsmål er noget i stil med 81925300c3372db9000c2ccd8aaddc31 og 9582203a0a27e525b88b83d83817573d.

Men man må gå ud fra, de færreste gider det besvær, og i stedet vælger at svare sandfærdigt (og dermed hamrende usikkert).

Pssst - den obligatoriske xkcd har et udmærket forslag til god passwordsikkerhed.

  • 13
  • 0
Martin Kirk

Glem ikke at det kan være sværere at huske svaret på et af de gemte spørgsmål end det kan være at huske hvilket af dine 6 standard name+pass combo's du har brugt..

Jeg har selv været ude for at skulle resette et password via et spørgsmål og kunne under ingen omstændigheder huske hvad svaret skulle være :-D

Jeg er ligesom dig gået over til at smide krimskrams ind i svarene.

  • 4
  • 0
Rasmus Rask

Jeg plejer at notere det valgte sikkerhedsspørgsmål og den tilfældige streng jeg har valgt som svar i min password database.

Nu kan jeg selvfølgelig ikke finde siden, men jeg læste engang om et website med en meget brugervenlig password reset-funktion - måske netop fordi det kan være svært at huske præcis hvad man skrev som svar: Her blev man som svarmuligheder præsenteret for det korrekte svar, samt et antal tilfældig valgte muligheder.

Her vil den sikkerhedsbevidste der har valgt random gibberish blive straffet, ved at svarmuligheden tydeligt adskiller sig fra de mere almindelige muligheder :).

  • 3
  • 0
Per Gøtterup

Førende sikkerhedseksperter har i snart lang tid argumenteret imod sådanne tåbelige regler. Skal man skifte ofte ender man med xxx1, xxx2, xxx3 passwords og skal det være langt og kompliceret så ender det på en post-it på skærmen. Det bedste er et langt kompliceret password som man helt selv vælger (som derfor er til at huske) og som man kun skal sætte en gang for alle. Ja, det giver masser af tid for en hacker til at lave et brute-force angreb eller til at brute-force en dekryptering af password-hashes, men er ens password langt nok så bliver det ikke knækket før man er død af alderdom og adgangen forlængst burde være lukket alligevel.

  • 0
  • 0
Brian Hansen

Ja, det giver masser af tid for en hacker til at lave et brute-force angreb eller til at brute-force en dekryptering af password-hashes, men er ens password langt nok så bliver det ikke knækket før man er død af alderdom og adgangen forlængst burde være lukket alligevel.


Og så alligevel ikke.
Passwordet kan være nok så langt og kompliceret, men hvis det bliver brugt på internettet på et eller flere sites så vil jeg garantere dig for deres database bliver lækket indenfor et par år.
Password skift er efter min mening forsat en meget god idé, men f.eks. månedlige skift er tåbelige, de gør det for nemt at blive fristet af Password1, Password2 osv stilen :)

  • 0
  • 0
Yoel Caspersen Blogger
  • 2
  • 0
Kristian Kolby

Implaterede RFID chips er vejen!
Jeg forsøger at bruge ET 1! Password til alt!
Skal jeg spilde tid på at tænke over hvad der skal erstatte "hubbabubbakid42" som password til fjæsbukken i næste uge? Og hvad med de ca. 20 andre passwords?
Fucking nej!
Jeg vil ende som en lallende galning på den lokale P!

  • 1
  • 1
Torben Mogensen Blogger

På Københavns Universitet, hvor jeg arbejder, skal vi jævnligt skifte kodeord, og det er med alle kravene om store og små bogstaver, cifre, og specialtegn, og ingen genbrug af de N sidste (hvor N ikke er oplyst) kodeord. Det giver selvfølgelig anledning til kodeord, der blot tæller op i et løbenummer eller bogstav. Men det mest irriterende er, at koden bruges til bl.a. kalenderadgang, mailadgang, og wifi, så den skal genindtastes i flere forskellige programmer på både PC og mobiltelefon, hver eneste gang vi er tvunget til at ændre det.

Jeg hørte, at en studerende blev så træt af det, at han lavede et script, der skiftede kodeord en hel masse gange, så han kunne genbruge sit gamle, og dermed reelt aldrig skiftede kodeord. Egentlig ganske smart, når institutionen insisterer på en bøvlet kodeordspolitik.

  • 15
  • 0
René Nielsen

Jeg bruger to passwords. Et kort password til hjemmesider som ikke betyder noget og et langt kompliceret password som jeg bruger til alle de andre hjemmesider.

I det lange password indsætter jeg det første og sidste bogstav fra hjemmesiden. Det kunne se sådan her ud ”Mit#sikre,paSsword/1” som så hos www.version2.dk bliver til ”Mvit#sikre,paSsword/21” hvor V2 fra www.version2.dk så bliver indsat på de faste pladser som kun jeg kender.

Hvis Version2 bliver hacket, så skal hackeren kende min metode for at kunne bruge min password til noget.

Hvis jeg bliver tvunget til hyppige skift, så har jeg et tal vandrer igennem teksten AAA1A => AA1AA og så udskiftes til et højere tal hvis nødvendigt, men iøvrigt er hyppige skift noget lort som ikke øger sikkerheden, for det betyder blot at usikrede regneark eller postit lapper indeholde alle brugerens password fordi der ikke er SingleSignOn på systemet.

  • 1
  • 0
Kjeld Flarup Christensen

Glem ikke at det kan være sværere at huske svaret på et af de gemte spørgsmål end det kan være at huske hvilket af dine 6 standard name+pass combo's du har brugt..


Jeg har flere gange misset den ja.
Ofte - bare for at være sikker - skal man svare på spørgsmålet med samme store og små bogstaver. Doh
Og så skal man jo lige huske om man oprindeligt lavede svaret på dansk eller engelsk.
Endelig har jeg oplevet at kontoen blev spærret permanent ved tredje forsøg, men j.v.f. ovenstående er der jo 4 legale muligheder.

  • 0
  • 0
Brian Hansen

Det kan også være en kamp mod højere instanser, der ganske enkelt ikke kan forstå at et langt password er bedre end et komplekst.
I mange større virksomheder er den slags så topstyret at det er praktisk talt umuligt at lave om på :/

  • 2
  • 0
Michael T. Jensen

Et sted jeg arbejdede en overgang, var der også krav om hyppige skift (60 dg) og jeg var der ca. hver 3. måned...

Jeg lavede en svær kode med hele musikken, efterfulgt af fire cifre for måned og år (mmyy).

Kravene blev altid overholdt og jeg glemte den aldrig... Jeg ved så ikke hvad den lokale admin fik ud af det rent sikkerhedsmæssigt - mon ikke det bare er samme papirsikkerhed som så meget andet sikkerhedscirkus, vi deltager som statister i?

  • 2
  • 0
Bjarne Nielsen

Som alle anekdoterne viser, så er det, at basere hele sikkerheden på et password, i høj grad en tabt kamp. Vi kæmper alle med at huske dem alle (og det er kommer kun flere), lave dem lange nok, og tilfredsstille bureaukratiets mange regler. Mon ikke også det er derfor at Per Thorsheim er citeret for også at pege i retning af 2-faktor-login?

Jeg håber så, at det er noget, som der viser sig en form for konsensus for, så vi ikke skal løbe rundt med tegnebogen fyldt op med papkort og nøgleringen med keytokens i forskellige udformninger og varianter.

  • 2
  • 0
Knud Jensen
  • 0
  • 0
Per Thorsheim

Security questions, whether created by the service or made by the users themselves, have been proven in most cases to be a weak spot and a perfect attack vector in lots of cases.

Best practice recommendation today is to NOT use either service generated or user generated security questions & answers as part of an password reset / account recovery procedure.

However, as a simple protection against social engineering phone calls, with the objective of improving the authentication of the caller, security questions or other challenge-response mechanisms is good practice.

Best regards,
Per Thorsheim

  • 1
  • 0
Per Thorsheim

Almost nobody uses that kind of password generation algorithms, including password professionals themselves. Instead of remembering the password you have to remember a long phrase, and then painstakingly enter letter by letter instead. It takes too much time, sorry.

Best regards,
Per Thorsheim

  • 1
  • 0
Jesper Hansen

Det bedste er et langt kompliceret password som man helt selv vælger (som derfor er til at huske) og som man kun skal sætte en gang for alle.

Så aldrig skifte password?

Lad os antage at en eller anden får fingre i dit password. Personen vil derefter have adgang lige indtil dit password bliver skiftet. Eller nårh nej, du skifter jo ikke password, så han slår sig bare løs...

Det er en svær balancegang, men skift af passwords har rent faktisk en funktion. I hvert fald så længe der er systemer der ikke understøtter MFA.

  • 0
  • 1
Per Thorsheim

Correct, I recommend using 2-factor authentication or 2-step verification wherever available. A major problem though is that 5 providers with 2FA/2SV available as a service also has 5 very different implementions on the look & feel of their solutions. For one or two services this is probably acceptable, but if you were to configure 30 different types of 2FA/2SV with 30 different services...... UNACCEPTABLE.

  • 0
  • 0
Eskild Nielsen

I et tidligere job skulle vi skifte hver måned svjh. Ikke bare måtte det ikke være et af de N tidligere passwords, men det måtte heller ikke være 'for tæt på'

Men hvordan den sidste funktionalitet var implementeret forstår jeg ikke - med mindre de gemte krypterede passwords i stedet for password hashes.

Men jeg husker den fortabte følelse da jeg efter 3 forsøg på at få accepteret et nyt password stadig fik beskeden 'dit password ligner et tidligere brugt password' - jeg havde akut behov for at logge på for at klare en fejlretning, og kunne bare ikke komme ind.

Men jeg kan ikke huske hvad jeg endte med at gøre

  • 0
  • 0
Henrik Sørensen

Inkonsekvenser er der masser af.

Tag nu blot Microsoft. De leverer en serversoftware kaldet Windows server. Denne kan fungere som domænecontroller, og i den forbindelse opsættes som standard passwordkrav, som opfylder Microsofts definition af "best practice".

Der stilles krav om kompleksitet, levetid mv.

Så langt, så godt.

Men det bliver lidt komisk, når man så forsøger at genbruge samme politik (som jo er godt og sikkert nok til at beskytte f.eks. administratoradgang til et domæne) til et MicrosoftID, f.eks. til office365.

Nu risikerer man nemlig, at passwordet pludselig ikke er sikkert nok!

På onlinedelen har en eller anden genial mastermind nemlig udtænkt en regel om, at din emailadresses prefix ikke må anvendes i passwordet - uanset dennes længde.

Hedder du f.eks. Torben Eriksen, bliver din emailadresse i mange virksomheder til te@virksomhed.dk.

Er dit password så f.eks. SepTemberveJ457kommaYIF+-PlusFireonsdagasljsakflsfsljsdf er både Windos Server og IT-afdelingen glade.

Men Office365 er sur! Du må ikke bruge pe i dit password! Det er usikkert!

Jeg forstår godt de brugere, som bliver frustrerede!

  • 1
  • 0
Henrik Sørensen

Niks, ingen hjælp.

Du må selv gætte dig til, at afvisningen af passwordet skyldes, at mailprefix uanset længde ikke må indgå.

Der kommer godt nok en forklaring til passwordkrav, men den omhandler kun det sædvanlige med længde, klasser osv.

Men uanset forklaring er det da rent pip at udelukke bestemte bogstavkombinationer helt ned til to karakterer. Og det er da hovedrystende dumt, at best pratice er forskellig fra en hosted Windows Server 2012 lejet hos Microsoft til en hosted Windows Officepakke lejet hos Microsoft.

Man kunne have håbet på, at der rent faktisk lå nogle grundige overvejelser og en deraf følgende konsistens bag en større virksomheds best practice på sikkerhedsområdet.

Men nej...

  • 0
  • 0
Log ind eller Opret konto for at kommentere