Microsoft: Stop med at tvinge brugerne til at skifte password i tide og utide

Illustration: designer491/Bigstock
I en opdatering til deres baseline-sikkerhedsindstillinger til Windows 10 og Windows Server fjerner Microsoft nu kravet om, at brugere skal ændre deres kode hver 60. dag

Skifter du med jævne mellemrum password på din arbejdscomputer? Så er der en god chance for, at din nuværende kode er den samme som din sidste kode bare med et nyt tal til sidst.

Det er en af grundene til, at Microsoft i deres nye Security Baseline til Windows 10 v1903 and Windows Server v1903 har fjernet det som standardindstilling, at brugere skal tvinges til at skifte password hver 60. dag.

»Når mennesker tvinges til at ændre deres password, laver de for ofte små og forudsigelige ændringer til deres nuværende passwords og/eller glemmer deres nye password,« skriver chefkonsulent hos Microsoft Aaron Margosis i blogindlægget.

Kun en baseline

Microsoft gør det i indlægget klart, at baseline-indstillingerne ikke er tilstrækkelige som sikkerhedspolitik, men bør udvides med andre tiltag som multifaktor-autentifikation og lister med ofte brugte passwords, som brugerne ikke kan få lov til at bruge.

»Periodisk udløbende passwords er en oldgammel og forældet taktik med meget lav værdi, og vi tror ikke, det er værd for vores baseline at håndhæve en specifik værdi,« skriver Microsoft.

»Samtidig må vi gentage, at vi stærkt anbefaler yderligere beskyttelse, også selv det ikke kan udtrykkes i vores baseline.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Nielsen

Det er helt sikkert, at man de steder hvor sikkerheden er vigtigt, skal have andet end password.

2 faktor, via SMS eller mail, Nøgle, certifiater, kontrol af konti og enhed og en helt masse andet.

Men et "godt" gammel password er vel ikke bedre end nyt, hvis eller det ikke er komprimiteret ?

Så i stedet fo, eller før kravet om skift af password, så skal det vel ses på.

  • Log og opdagelse af misbrug
  • Sikkerforbindelse
  • kryptering
  • ..... og en helt masse andet

Når vi taler om adgangskode til web, kan man vel tale om de vigtige som mail, bank og Eboks. Som der rimeligt styr på, på grund af Nemid.

Lige med undtagelse af mail og service, her skal man, også hvis man er privat person, være meget OBS. Feks, kan en mail konto jo give adgang til facebook og hele ens socale live på nettet.

Et tiltag kunne være at benytte midst 2 eller 3 mail konti, en privat også en til "snavs" også en til andet ikke vigtige sidder.

Også det mest vigtige, BRUG IKKE SAMME PASSWORD PÅ FLERE
PLATFORME.

Gert Jürgensen

Smart Microsoft, sæt baseline sikkerheds tjek modelen ned, og bare skriv jer ud af kvalites tjek.

Plus mange setup af så kaldte multifaktor-autentifikation beskytter ikke det brugeren VED, via først at tjekke det brugeren HAR eller ER, hvorfor hacking af Kodeord det brugeren VED gøres nemmere.

EKS: med BrugerID/Kodeord først og når dette er indtastet korekte så sendes der en mail/sms eller anden token baseret model, med andre ord du skal ikke bruge 2. eller evt. 3. faktor for at se om du har gættet 1. faktor korrekt, derfor meget nemmere at hacke.

NemID, er endnu værer da et godt WEB-Kamera kan samle både BrugerID/Kodeord (det brugeren ved), og Nøglekortet (det brugeren har), op uden brugeren ved de har "mistet" begge.

Hans Nielsen

“Hvilken tåber, har ikke for længst klister sort tape over det ?“

Alle jeg kender bruger faktisk det kamera der er på deres telefon

0 0


Nu var det jo tale om web kamera, men angående telefon.

Hvem lægger den ikke lidt væk med enten ryggen ned eller op, og evt i et cover som dækker for kamera, når det er lukket. Men du har ret, der er nogle som er gift med deres telefon.

Men hvis nogle har hacket en telefon, så et nemid evt kan aflæses. Så vil jeg personlig mene, at det er et af de mindre problemmer man har.

Torben Mogensen Blogger

et godt WEB-Kamera

Min bror har sat til telefon til at låse op med ansigtsgenkendelse. Jeg kunne godt låse den op med mit ansigt. Andre har rapporteret, at man kan bruge profilbilleder fra Facebook og bruge dem som maske til at låse andres telefoner op.

Tofaktorautentificering via SMS har det problem, at hvis en person stjæler din telefon, kan du ikke selv komme ind, men det kan tyven måske. Han beder blot om at få nulstillet password, modtager en SMS med en oplåsningskode, og er dermed inde. Ofte kan man uden at låse telefonen op se starten af SMS-beskeder. Når jeg laver onlinekøb med kreditkort, kan jeg f.,eks. se den firecifrede kode uden at låse mobiletelefonen op. Så hvis nogle stjæler både min telefon og min tegnebog er jeg på spanden, for jeg kan ikke engang ringe for at spærre kortet -- med mindre jeg kan låne en telefon af en anden.

Og man behøver ikke at have set ret mange dårlige agentfilm for at se, at brug af fingeraftryk eller retinascan blot giver risiko for amputation samtidig med røveri.

I konklusin kan du aldrig være helt sikker. Så dit eneste våben er at sørge for, at du ikke mister ret meget -- hverken hemmeligheder eller penge -- hvis nogen opsnapper dine loginoplysninger. At sprede sin formue over flere konti er et skridt mod dette.

Michael Hansen

Jeg vil gerne adressere problemet med at "glemme" sine kodeord, nu hvor vi hele tiden bliver bedt om at lave et nyt.

I vores online virksomhed (der bl.a. driver https://www.pengeinfo.dk/) har vi utallige logins til diverse platforme og værktøjer, hvilket både kan skabe problemer i forhold til glemsomhed og sikkerhed. Vi har derfor valgt at komme problemet til livs ved at benytte en "password manager". Her har vi samlet alle vores logins ét sted. Og så genererer den tilmed selv kodeordene, så de forstærkes.

Det er i hvert fald en måde, hvorpå virksomheder kan øge sikkerheden og gøre det mere overskueligt at holde styr på diverse logins.

Povl Hansen
Log ind eller Opret konto for at kommentere