Lösenordspolicyn bidrar inte till att rädda lösenordet

2008-11-30

Vi är rörande överens om att lösenordens tid är förbi! Trots detta försöker vi göra det vi tror är det bästa av situationen genom att förbättra (?) lösenordspolicyn.

Är det någon som minns förslaget till lösenordskonstruktion i de allmänna råd (FA22) som Överstyrelsen för Civil Beredskap gav ut? Där föreslogs ett lösenord på minst 6 tecken och att det skulle vara konstruerat på ett sådant sätt att det inte lätt gick att avslöja. Det har hänt en del sedan dess.

Dagens lösenordspolicy säger att lösenordet skall vara minst tvåsiffrigt långt, bestå av specialtecken, gemener, versaler, siffror, inte återupprepade tecken, byts var 30:e dag osv. Inte sällan är skrönan sann att lösenordet sitter på en Post-it lapp för att det är omöjligt att memorera det perfekta lösenordet.

Verkligheten är ännu hårdare. Med tillgång till en lösenordshash (Kerberos, NTLM mfl) så är lösenordet normalt knäckt på mindre än 1 timme med medioker hårdvara (P4 2,8 GHz). Med en keylogger kan lösenordet vara tresiffrigt, det blir ändå knäckt. Med dessa typer av tekniker spelar det inte någon större roll om ett konto blir utelåst efter en handfull försök. Det påverkar däremot användarens humör.

Det är bara att inse att lösenorden och lösenordspolicyns tid är förbi.

Den nuvarande autentiseringslösningen med användar-id och lösenord ersätts tyvärr inte över en natt. Men, under övergångsperioden kan ni göra en sista revidering av lösenordspolicyn. Förläng intervallet för lösenordsbyte och öka på antalet möjliga påloggningsförsök för att underlätta för användaren att använda komplexa lösenord.

Det råder inget tvivel att riktigt långa lösenord är bra. Det är betydligt svårare att knäcka än ett kort lösenord, men skall användaren ha en chans att hantera riktigt långa lösenord krävs att de inte byts allt för ofta och att man ges fler möjligheter att mata in det innan kontot spärras. Detta skall dock inte ses som en ursäkt för att inte nå målet med bättre autentiseringsmetoder, inte minst viktigt i alla sammanhang där känslig information hanteras och i de sammanhang där risken för riktade attacker är stor.

© 2008 Rickard Fransson & Thomas Nilsson, Certezza AB

Författare

Rickard Fransson & Thomas Nilsson

Senaste Notiser

Senaste Krönikor