Att välja bra och krångliga lösenord, som man dessutom kommer ihåg trots att man har 100-tals olika system att använda dom i och att dom måste bytas var tredje månad är en konst som människan helt enkelt inte klarar av. Vi är inte byggda för att hantera denna stora datamängd och koppla ihop olika lösenord med olika platser på ett för oss själva strukturerat sätt utan att för den delen göra det möjligt för andra att reda ut strukturen. Detta gör att vi slarvar med våra lösenord.
Jag sitter själv med en hel del behörigheter i olika känsliga system, och har så gjort de senaste 15 åren, så för mig kommer inte SVD:s artikel och TkJ:s blogginlägg om att det slarvas med lösenord på våra svenska företag som någon större nyhet. Jag kan dessutom berätta varför slarvet är så stort.
Det beror inte på lathet eller dumhet. Det är enklare än så. Att användare sätter för lätta lösenord, skriver upp dom på en lapp eller lånar ut sin behörighet till kollegorna beror helt enkelt på reglerna och de forcerade lösenordskraven i sig. Anledningen till det så kallade slarvet är alltså de system och funktioner som ska motverka slarvet.
I ett tidigt skede i min karriär var jag väldigt noga med lösenorden. För min del har det aldrig funnits någon som helst anledning att använda ett lösenord som går att slå upp i en orbok, inte ens efter att alla O:n bytts ut mot nollor och alla I:n bytts ut mot ettor. Jag valde alltid långa lösenord, minst 8 tecken, och de innehöll både gemener, versaler och siffror. Jag använde inte samma lösenord privat som på jobbet och jag gjorde skillnad på lösenord beroende på vilken nivå jag anser att säkerheten var på de olika systemen. Till exempel hade jag ett lösenord till min egen brevlåda och ett annat för root-behörighet till någon server.
Det jag inte följde var reglerna om att aldrig använda samma lösenord på flera system och att byta lösenord var tredje månad. Det var mitt sätt att möjliggöra de hårda krav jag själv skapade för mina lösenord. Jag menar, om jag har tänkt ut världens bästa lösenord och inte skriver upp det på någon lapp och därför inte heller riskerar att förlora lösenordet så finns det egentligen ingen anledning att byta hela tiden. Dessutom att jag höll mig till en sorts lösenord för system jag hade kontroll över och ett annat för system som andra hade kontroll över så riskerade jag inte heller att någon plockade ut mitt lösenord och provade med det i andra system.
Sedan en tid tillbaka har dock världen förändrats. Numera måste lösenorden bytas var tredje månad och det finns kontroller som görs så att man inte använder ett liknande lösenord och inte återanvänder samma lösenord någonsin igen. Dessutom har olika regler införts i olika system. Till exempel kräver vissa system förutom gemener, versaler och siffror även specialtecken. Andra kräver minst två siffror och många system vill ha minst 8 tecken. Andra system är dock lite äldre och är istället begränsade till max 8 tecken, det tillåts inga specialtecken och istället ska lösenordet bytas varannan månad.
Dessa kontroller och regler gör det omöjligt för mig att, med ett 30-tal olika stödsystem och dessutom ytterligare ett 30-tal servrar med både egen inloggning och root-lösenord, hålla en hög standard på mina lösenord. På grund av automatiken som ska styra mig mot säkrare lösenord som byts ofta dimper jag alltså ner på samma nivå som de icke säkerhetsmedvetna användarna: Jag börjar skriva upp lösenord för att de är så många, jag väljer korta och lätta lösenord för att jag ändå måste byta om tre månader, jag anstränger mig inte för att hålla lösenordet hemligt och jag tar mig inte tid att skapa det perfekta lösenordet längre.
Så en vädjan till alla säkerhetsarbetare där ute på de svenska företagen: Byt till fingeravtrycksläsare, kortläsare, lösenordsdosor och olika single signon-lösningar. Se också till att använda samma kort och dosor för alla system, annars hamnar vi tillbaka i samma träsk igen. Och för de system som inte kan göras om för användning av ny teknik utan tvingas fortsätta med lösenord bör ni strama åt lösenordsreglerna ännu mer, men samtidigt tillåta obegränsad användning av dessa ytterst krångliga lösenord. Tillåt också att användare har samma lösenord i alla system.
[tags]Lösenord, Slarv, Policy, Lösenordspolicy, Säkerhet, Intrång[/tags]
Senaste kommentarer