Godt nyt om gode passwords

Passwords er en uundgåelig del af livet med Internet. selv hvis man fravælger alskens services og produkter – facebook, internetbutikker, email, så er det svært at klare bankforretninger og kommunikation med det offentlige Danmark uden NemID. I forhold til de profiler og data som éns passwords giver adgang til er de at sammenligne med nøglen til ens hus – hvis et password falder i de forkerte hænder, så kan fremme gå lide ind og tage nærmest tage hvad de vil. I værste fald kan éns identitet. Så passwords er værd at tage alvorligt.

Der har længe været stemning for, at passwords skulle være så komplekse som muligt og overholde regler så som at de skal blande store og små bogstaver, tal og symboler – for eksempel er dette et password automatisk genereret af min password manager: 6O6WtyEGihEPY3z. Ikke til at huske eller indtaste, men nemt at styre netop hvis man har en password manager. Formålet med at bruge forskellige tegn er at det skal tage længere tid for en computer at afprøve alle muligheder for et password – Flere tegn, flere muligheder – så i stedet for at skulle afprøve kombinationer af de 25 bogstaver fra a til z, opnår man i stedet mange flere kombinationer ved også at kombinere med de 25 store bogstaver A til Z, tallene 0-9 og en stribe specialtegn som !”#¤. Sådanne password er svære at huske, men til gengæld skal de ændres regelmæssigt og bør ikke genbruges på forskellige sites(!)

En modstrøm har talt for, at man i stedet fokuserer på længde fremfor mængden af mulige tegn, fint illustreret at denne tegning fra xkcd.com:

XKCD om gode passwords: “Med 20 års anstrengelser har vi haft succes med at træne alle til at bruge passwords som er svære for mennesker at huske, men lette at gætte for computere” (https://xkcd.com/936/)

Kort sagt, et password dannet nogle få tilfældige ord og som er let at huske, er langt bedre end et kort, men kompliceret password som er nærmest umuligt at huske.

Nu bakkes denne tegning op af anbefalingerne fra amerikanske NIST (National Institute of Standards and Technology), til brug for USA’s offentlige sektor: https://pages.nist.gov/800-63-3

Som opsummeret på bloggen Securing the Human fra SANS Institute:

Kort sagt:

  • Længden af password er vigtigere end kompleksitet, brug gerne passphrases, dvs. længere sætninger bygget at en række ord som er lette at huske.
  • Passwords skal kun ændres når den tilhørende service er blevet kompromitteret (man kan med fordel benytte sig af en service som Have I been pwned, der sende en email hvis éns emailadresse dukker op i et læk af stjålne brugerdata).
  • Systemer skal understøtte password managers.

(kilde: https://securingthehuman.sans.org/blog/2017/07/27/nist-has-spoken-death-to-entropy-love-live-the-passphrase)

Derudover forbliver det et godt råd ikke at genbruge det samme password til flere sites, for så snart ens brugernavn/password er stjålet et sted, kan tyvene forsøge at genbruge kombinationen alle andre steder. Automatisk. Et andet råd som er at anvende to-faktor-sikkerhed når det er muligt. Det er hvad vi gør via NemID og nøglekortet, og mange services som for eksempel Dropbox, Facebook og Google tilbyder det også. Mere om to-faktor-sikkerhed og password managers i kommende indlæg.

Endelig skal man altid huske at selv de bedste passwords er nytteløse over for angreb via phishing, social engineering eller malware.

Har du spørgsmål eller kommentarer? Så læg en besked i boksen herunder eller kontakt mig direkte via et af de sociale links.

Ugen der gik

  • Er tilbage på arbejde efter ferien og vi er stadig ved at komme os over juni måneds NotPetya cyberangreb. Ubehageligt stads.
  • Adskillige aftener er gået med læse science fiction serien ‘The Lost Fleet‘ af Jack Campbell. Stor læsefornøjelse. Også så er det i et eksperiment med at bruge en telefon med 5,5″ skærm som primær boglæser.