Måske er koden til din Windows-maskine 'Maj0123456789'. Og måske skyldes det et krav i organisationen om, at kodeordet til Windows-login'et skal være på mindst 15 karakterer og indeholde tal samt små og store bogstaver.
Og måske skal kodeordet skiftes en gang om måneden af 'sikkerhedshensyn', samtidigt med at det ikke må være for identisk med de to foregående kodeord. Den form for password-politik kan være en dårlig idé.
»Jeg er på en mission. Jeg har ført krig mod obligatoriske password-skift. Det er den primære grund til, at folk har rigtigt dårlige passwords,« siger Per Thorsheim fra det norske it-sikkerhedsforetagende GodPraksis.
Per Thorsheim slår til lyd for, at brugerne i stedet bliver bedt om at vælge et langt password, gerne en sætning. Og at dette eventuelt bliver suppleret med en form for 2-faktor-login.
»Hvis du gør det, så behøver du aldrig skifte dit kodeord igen. Medmindre vi ved med sikkerhed, at dit kodeord er blevet kompromitteret.«
Kodeord kan svække sikkerhed
Head of Security og Technology hos PWC Mads Nørgaard Madsen peger også på password-kompleksitet som en udfordring - også blandt danske organisationer.
»Passwords er noget af det, der fylder rigtigt meget i virksomhederne, fordi folk arbejder med det hver dag.«
Mads Nørgaard forklarer, at de fleste godt ved, at passwordet 1234 nok ikke er en holdbar løsning, men dermed ikke sagt, at det er en god idé med krav om alt for hyppige skift af komplicerede passwords.
»En sikkerhedsmand vil sige, at det er da meget bedre, men vi har altså med mennesker at gøre.«
Lange, komplicerede passwords, der ofte skal skiftes, er svære at huske for almindelige mennesker, og den form for kodeord kan i udgangspunktet og helt modsat intentionen svække sikkerheden i organisationer, fortæller Mads Nørgaard Madsen.
»Og så får vi de her situationer med post-its, og det er der ingen, der ønsker.«
Situationen med gule sedler med kodeord er blot et eksempel på nogle af de krumspring brugerne kan finde på, når sikkerhedstiltagene i it-afdelingen bliver for rigide.
Per Thorsheim peger på, at brugerne har et job, de skal udføre, og at det er vigtigere end at være compliant med virksomhedens sikkerhedspolitik.
»I et worst-case scenarie, så vil du se brugere, der bevidst prøver at knække virksomhedens sikkerhedspolitik. Ikke bare password-politiken, men hele sikkerhedspolitikken, fordi de synes, reglerne er for strikse, for besværlige og umulige at overholde. Og de synes også, at sikkerhedsfolkene simpelthen er idioter,« siger han.
For at undgå sådan en situation, så anbefaler Per Thorsheim, at it-afdelingen indgår i dialog med brugerne om, hvordan eksempelvis 2-faktor autentifikation kan implementeres, så det generer folk mindst muligt, men samtidig styrker sikkerheden.
Hvad med resten af kodeordene?
Samtidig med, at der kan være vilde krav til kodeord på en Windows-klientmaskine, så er der måske slet ingen password-politik fra organisationens side, hvad diverse web-vendte tjenester angår.
Mads Nørgaard Madsen vurderer, at mange virksomheder helt mangler regler for kodeord til online-tjenester som Facebook, Twitter, Google-apps, CMS'et, et cloudbaseret CRM osv.
»Hvis der ikke bliver tænkt holistisk, så får man en dør, der er lavet af panser, mens resten af huset er lavet af pap og vinduerne står åbne,« siger han.
Mads Nørgaard Madsen anbefaler, at organisationen indfører et system til identity management. Det vil sige en softwareløsning til håndtering af brugeres adgang på tværs af teknologier. Uanset om der er tale om systemet til dørstyring eller til Facebook. Det gør det også nemmere at tilbagekalde rettigheder.
»Når man stopper, så er rettighederne væk,« siger Mads Nørgaard Madsen
I udgangspunktet mener Per Thorsheim også, at et system til identity management kan være en god idé.
Dog, påpeger han, skal man være opmærksom på, at sådan et system ikke nødvendigvis omfatter udstyr som eksempelvis backend-servere, routere og firewalls. Og på de elementer, skal der selvsagt også være styr på autentifikations-politiken.
Per Thorsheim mener, at organisationer generelt bør kortlægge de forskellige krav til login på de tjenester, organisationen bruger. Det indebærer at skrive kravene ned per tjeneste for derved at få et overblik over, om der er sammenhæng mellem tjenesternes vigtighed og kravene til login.
Men det sker måske først, når det er for sent. I hvert fald oplever Mads Nørgaard Madsen, at danske organisationer og virksomheder først rigtigt begynder at forholde sig til udfordringer i forhold til autentifikation, når det er gået galt.
»De virksomheder, der har været ramt - der er ingen tvivl om, at fra den dag, de har været ramt, så investerer de fuldt ud, men det er måske lidt sent.«
Blog fra Per Thorsheim: Why you shouldn't change your passwords regulary
