Vi är rörande överens om att lösenordens tid är förbi! Trots
detta försöker vi göra det vi tror är det bästa av situationen
genom att förbättra (?) lösenordspolicyn.
Är det någon som minns förslaget till lösenordskonstruktion i de
allmänna råd (FA22) som Överstyrelsen för Civil Beredskap gav ut?
Där föreslogs ett lösenord på minst 6 tecken och att det skulle
vara konstruerat på ett sådant sätt att det inte lätt gick att
avslöja. Det har hänt en del sedan dess.
Dagens lösenordspolicy säger att lösenordet skall vara minst
tvåsiffrigt långt, bestå av specialtecken, gemener, versaler,
siffror, inte återupprepade tecken, byts var 30:e dag osv. Inte
sällan är skrönan sann att lösenordet sitter på en Post-it lapp för
att det är omöjligt att memorera det perfekta lösenordet.
Verkligheten är ännu hårdare. Med tillgång till en lösenordshash
(Kerberos, NTLM mfl) så är lösenordet normalt knäckt på mindre än 1
timme med medioker hårdvara (P4 2,8 GHz). Med en keylogger kan
lösenordet vara tresiffrigt, det blir ändå knäckt. Med dessa typer
av tekniker spelar det inte någon större roll om ett konto blir
utelåst efter en handfull försök. Det påverkar däremot användarens
humör.
Det är bara att inse att lösenorden och lösenordspolicyns tid är
förbi.
Den nuvarande autentiseringslösningen med användar-id och lösenord
ersätts tyvärr inte över en natt. Men, under övergångsperioden kan
ni göra en sista revidering av lösenordspolicyn. Förläng
intervallet för lösenordsbyte och öka på antalet möjliga
påloggningsförsök för att underlätta för användaren att använda
komplexa lösenord.
Det råder inget tvivel att riktigt långa lösenord är bra. Det är
betydligt svårare att knäcka än ett kort lösenord, men skall
användaren ha en chans att hantera riktigt långa lösenord krävs att
de inte byts allt för ofta och att man ges fler möjligheter att
mata in det innan kontot spärras. Detta skall dock inte ses som en
ursäkt för att inte nå målet med bättre autentiseringsmetoder, inte
minst viktigt i alla sammanhang där känslig information hanteras
och i de sammanhang där risken för riktade attacker är stor.
© 2008 Rickard Fransson & Thomas Nilsson, Certezza AB
