Under den gånga veckan nåddes Sveriges nyhetsmedier av ett TT-meddelande om säkra lösenord. Artikeln publicerades av bland annat SVT, Aftonbladet, GP och Ny teknik. Tyvärr var en av rekommendationerna att byta lösenord regelbundet. Detta råd kommer från en gammal myt som i bästa fall är verkningslös och i värsta fall är kontraproduktiv.
Myten
Myten härstammar från en rekommendation från amerikanska Nist (National Institute of Standards and Technology). De har numera dragit tillbaka den rekommendationen. I den senaste revisionen av Nists lösenordsråd står det tvärtom så här (juli 2017).
”Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.”
På svenska betyder detta att systemen som vi loggar in i inte ska kräva godtyckliga (t.ex. periodiska) byten av våra memorerade hemligheter. Memorerade hemligheter är med andra ord våra lösenord.
Om du vill läsa hela publikationen kan du ladda ned den som en PDF från Nists webbplats. Det intressanta börjar på sida 13.
Den gamla Nist-publikationen skrevs av Bill Burr. Han är nu pensionerad, och i en intervju med Wall Street Journal ångrar han de gamla rekommendationerna (artikeln ligger bakom betalvägg). Han ångrar också rekommendationen om krav på blandning av stora och små tecken med specialtecken. I den aktuella versionen av Nists rekommendationer står det i stället så här.
”Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets.”
Problemet med maxålder på lösenord
Bördan som alla lösenord lägger på oss användare är tung (läs ”omänsklig”). Våra hjärnor klarar inte att komma ihåg unika lösenord till alla inloggningssystem vi använder. Om vi dessutom måste byta ut lösenorden hela tiden blir orimligheten ännu mer absurd. Det är därför inte konstigt att vi får ta till post-it-lappar, anteckningsblock och dylikt för att komma ihåg alla lösenord (även om min rekommendation så klart är en lösenordshanterare).
Med handen på hjärtat tror jag också att de flesta inser hur verkningslöst kravet på periodiska lösenordsbyten är. Den som har lösenordet ”sommar1” lär inte byta till något helt annat lösenord nästa gång det krävs. Han eller hon lär i stället byta till ”sommar2”. En attackerare som har snappat upp lösenordet ”sommar1” kan lätt förstå att ”sommar2” är rätt lösenord när det förstnämnda lösenordet slutar fungera.
Den felaktiga rekommendationen om periodiska lösenordsbyten är som mest påtaglig i företagssammanhang. Där har myten grotts in i väggarna och det kommer att kräva stora satsningar för att bli av med den (framförallt eftersom den fortfarande sprids). I stället för periodiska lösenordsbyten bör företag satsa på följande tre punkter för att uppnå goda lösenordsvanor.
- Utbilda alla anställda i säker lösenordshantering. Låt dem behålla samma lösenord och förklara i stället vikten av att just det lösenordet är superstarkt samt att det aldrig används någon annanstans. Med rätt utbildning kommer användarna själva att förstå vikten av att byta lösenord om det finns minsta risk att lösenordet har hamnat på avvägar. Då förstår de också att de inte ska byta från ”sommar1” till ”sommar2”.
- Uppdatera lösenordspolicyn efter dagens rekommendationer. Ta bort kraven på specialtecken och fokusera på lösenordslängd. Tänk på att policyn måste vara genomgående för samtliga inloggningssystem. En policy får aldrig säga emot en annan. Ha samma policy överallt!
- Gör det lätt för alla anställda att göra rätt. Erbjud dem single sign-on-lösningar (t.ex. inloggning med Windows-kontot i alla system). Ge dem tillgång till företagsadministrerade lösenordshanterare. Utan sådana hamnar lösenorden i privata lösenordshanterare, på post-it-lappar, i mobilernas anteckningsblock eller i okrypterade excelark. Utan single sign-on-lösningar och företagsadministrerade lösenordshanterare förlorar företaget kontrollen över användarnas systemrättigheter och inloggningsuppgifter. Att tro något annat är att blunda för verkligheten.
Tipsa gärna den som ansvarar för lösenordspolicyn på ditt företag om denna artikel. Om han eller hon vill läsa mer om moderna lösenordsrekommendationer föreslår jag:
I fredags kontaktade jag TT om den felaktiga rekommendationen. De har hittills inte svarat och de har inte gått ut med någon korrigering. Stort tack till Sweclockers som gick ut med information om den felaktiga rekommendationen. De intervjuade mig också i artikeln ”Att periodiskt byta lösenord är en säkerhetsrisk”. Under helgen har jag svarat på läsarnas följdfrågor i Sweclockers forum.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.