Instifta lösenords­hanterar­dagen

Det är inte bara kanelbullen och semikolonet som har förärats med en egen temadag i vår svenska kalender. Lösenordet har också fått en temadag i form av lösenordsbytardagen. Den temadagen borde dock moderniseras och ersättas med ”lösenordshanterardagen”. Detta föreslår jag i en intervju med Sweclockers som gjordes dagen till ära.

Utdaterad rekommendation

Rekommendationen kring periodiska lösenordsbyten är en kvarleva från tiden då vi trodde att vi människor skulle kunna komma ihåg alla våra lösenord. Det byggde i sin tur på tanken att vi återanvände lösenord i stället för att ha unika lösenord överallt. En lösenordsläcka kunde därmed ge angripare åtkomst till alla konton där vi hade använt samma lösenord . Riskerna för sådana konsekvenser kunde minimeras med hjälp av periodiska lösenordsbyten, men den som följer moderna rekommendationer slipper sådant krångel.

Tips! Mer information om varför lösenord läcker avhandlas i avsnitt 50 av Bli säker-podden: Därför läcker lösenord.

Så länge vi användare har unika och starka (läs: ”långa”) lösenord kan vi behålla dem hur länge vi vill. Vi behöver enbart byta lösenorden vid minsta misstanke om att de kan ha läckt. Genom att använda en lösenordshanterare som Lastpass eller 1password behöver vi bara komma ihåg ett enda lösenord: lösenordet till lösenordshanteraren. Resten av lösenorden kommer lösenordshanteraren ihåg åt oss (läs mer i Bli säker-boken).

Sluta kräva periodiska lösenordsbyten

Krav på periodiska lösenordsbyten är numera utdömt av såväl Microsoft som amerikanska Nist (läs mer i Bli säker-boken). Sådana krav kan till och med vara kontraproduktiva. Om användarna har svårt att komma ihåg sina lösenord riskerar lösenordsbytartvång få dem att välja kortare lösenord. Kraven leder också till onödiga supportärenden och, i bästa fall, får de bara användarna att göra en liten förändring vid varje påtvingat lösenordsbyte, exempelvis ett byte från sommar1 till sommar2.

Advice to IT Administrators /…/ Eliminate mandatory periodic password resets for user accounts

Microsoft Password Guidance

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

NIST Special Publication 800-63B

Tips! Läs intervjun i Sweclockers och delta i diskussionen. Lyssna också på det första avsnittet av Bli säker-podden (Onödiga lösenords­bytardagar) som handlade om just denna temadag.