Twitter: Ingen adgang med ?gandalf' eller 'superman' som kodeord

Endelig et fornuftigt tiltag på de sociale netværk, som gør noget for sikkerheden. Og såre simpelt at implementere i virkeligheden for admins verden over.

Det er virkelig på tide at Hr. og Fru hverdags-bruger lærer noget om sikkerhed vs. dovenskab. For det må da efterhånden stå fast, at usikre adgangskoder er lig med ekstrem dovenskab fra brugeren side, og ikke nær så meget er et tegn på et dårligt sikret system. Dovne brugere, som har "koder" som "vovvov21, fido1987, karen61" og flere af samme skuffe har alle dage gjort sig selv en dårlig tjeneste ved at bruge svage adgangskoder.

Men det er ikke kun på private computere dårlige adgangskoder er et problem. Mange steder i det offentlige er der mange, som bruger svage koder, og dermed udgør en risiko for systemet. Så kan man bede brugerne om aldrig så mange gange at lade være, det hjælper intet. For de argumenterer med, at de har for travlt til at gå og huske på alle de koder. Hvortil mit svar altid er, at så har de valgt det forkerte job. Sikkerhedspolitikken forskriver at brugeres koder er komplekse, og det skal brugeren rette sig efter.

Sikkerhedspolitikken forskriver at brugeres koder er komplekse, og det skal brugeren rette sig efter.

Bare fordi man skriver nogle regler på papir SÅ bliver virkeligheden ikke anderledes!

Uanset Hvad "Reglerne" Siger, så bliver en kompleks kode, some ingen naturligvis kan huske, bare skrevet ned og klistret under blyantskuffen!!

Jeg kender absolut INGEN der har fået ros af deres chef for at overholde firmaet sikkerhedspolitik, snarere tværtimod, folk får ros for at gøre deres JOB hurtigt og effektivt. Hvis sikkerhedspolitikken er i vejen for det som belønnes bliver den omgået - på een eller anden måde, folk vil finde en måde der er meget værre end bare dårlige passwords.

Og - Hvis valget en dag kommer mellem "arbejdet" og "sikkerheden" - så ryger sikkerheden (sammen med den irriterende sikkerhedsansvarlige, der blokerer alting). Det sker typisk når sælgerne bliver sure nok og laver et lynch-party sammen med et par chefer.

Hvis man ønsker reglerne overholdt skal man gøre det nemt for brugerne at overholde dem!

PS: Hvis det er vigtigt med lange passwords med skumle karakterer kan "man" jo hive muldvapen frem og købe ordentlige sikkerhedssystemer der bruger en fysisk kryptografisk nøgle per bruger.

Nøglen genererer en eengangskode hver 30 sekund ud fra en PIN-kode (som folk KAN huske).

Jeg kender mange der benytter der samme password over hele linjen, til deres mail, digitale signatur, facebook - über alles. Og for at det skal være nemt, benytter de måske initialer, krydret med deres fødselsdato for at gøre det "lidt svært at gætte".

Så krummer jeg tær. Men beder jeg dem benytte forskellige passwords, glemmer de dem, og det dur jo heller ikke.

Hvordan løser man det?

Hvordan løser man det?

Beder dem lære ét rigtigt godt og sikkert password og så bruge lastpass 1.

Martin R. Ehmsen

Beder dem lære ét rigtigt godt og sikkert password og så bruge lastpass [1].

Og dermed overgive deres password til 3. part? Næppe.

Uanset Hvad "Reglerne" Siger, så bliver en kompleks kode, some ingen naturligvis kan huske, bare skrevet ned og klistret under blyantskuffen!!

Og hvad så? Det nedskrevne password kræver jo fysisk adgang. Vi taler om websystemer hvor brugerne er spredt over hele verdenen.

Hackerne går sjældent efter specifikke brugere, men langt oftere efter websitet for at kunne bruge det til at inficere brugerne så de kan opbygge et botnet. Eller for at få kreditkort oplysninger.

I stedet for at nedskrive diverse passwords på papirlapper eller lagre dem eksternt hos 3. part, kan de gemmes lokalt i krypteret base med eet kendt password, fx med http://keepass.info/ - og den virker også i Opera-browseren.

Man kan have den med på USB-nøgle, og diverse mobil-pinkoder, pas- og kørekortsnumre, konto-numre og lignende kan ligeledes gemmes.

Man skal kun huske det ene stærke password, og den kan så selv lave tilfældige password med valgt antal tegn.