Replik: Byt inte lösenord i onödan

Igår tipsade den svenska tidningen PC för allas nätupplaga om hur du som användare kan bli periodisk påmind om att byta ditt Windows-lösenord. Artikeln visar hur du genom ditt Microsoft- eller Windows-kontos inställningar kan tvinga dig själv till att byta lösenord efter ett visst antal dagar. Denna rekommendation kan i värsta fall vara kontraproduktiv.

Genom att tvingas byta lösenord stup i kvarten riskerar vi användare att välja sämre lösenord. Detta eftersom våra mänskliga hjärnor är just mänskliga och därmed inkapabla att komma ihåg massvis av starka lösenord.

Våra rekommendationer

Bli säker-boken och Grundläggande IT-säkerhetskursen (NSSE) utgår i detta fall från de amerikanska Nist-riktlinjerna. I den senaste upplagan av dem står följande.

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

Nist Special Publication 800-63B (2017)

Det innebär att användarna inte ska tvingas byta lösenord periodiskt. Användarna ska däremot tvingas byta lösenord ifall det har läckt. IT-jätten Microsoft är inne på samma spår och skriver följande uppmaning i sina riktlinjer för IT-administratörer.

Advice to IT Administrators /…/ Eliminate mandatory periodic password resets for user accounts.

Microsoft Password Guidance (2016)

Vi uppmanar alla organisationer att be sina användare välja starka (läs ”långa”) och unika lösenord. Detta är i sig en stor börda eftersom mänskliga hjärnor har svårt att komma ihåg sådana. Vi bör därför samtidigt underlätta bördan genom att tipsa om att lösenmeningar kan användas i stället för lösenord samt att lösenorden inte behöver bytas förrän vid misstanke om läckage (och då ska de bytas omgående). Organisationen kan också underlätta för sina medarbetare genom att utrusta datorerna med fingeravtrycksläsare som gör att användarna inte behöver knappa in långa lösenord vid varenda inloggning. Idag finns bra fingeravtrycksläsare som kan anslutas till en ledig USB-port, till exempel på baksidan av skärmen där den är lätt att nå.

Dessa rekommendationer gäller också privatpersoner som sätter sin egen lösenordspolicy. Genom att skaffa god lösenordshygien, vara medveten om lösenordsriskerna och välja starka lösenord krävs inga periodiska lösenordsbyten. Mer information om lösenordshygien och lösenordsrisker finns i Bli säker-boken.

Kom ihåg lösenordshanteraren

Avslutningsvis rekommenderar vi alla privatpersoner och organisationer att skaffa lösenordshanterare. Lastpass, 1password och Bitwarden är tre exempel på utmärkta sådana. Med en lösenordshanterare behöver användaren enbart komma ihåg ett enda lösenord: lösenordet till lösenordshanteraren. Alla andra lösenord lagras i lösenordshanteraren och fylls i automatiskt vid inloggning. Lastpass och Bitwarden är gratis för privatpersoner. 1password erbjuder såhär i Corona-tider sex månaders gratisanvändning av 1password Business.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.