Regelbundna lösenordsbyten gör det bara värre

Imorgon, den 20 januari, är det Lösenordsbytardagen men det är onödigt, meningslöst och ibland väldigt kostsamt att tvinga folk att byta lösenord. Det bästa är att skaffa sig ett riktigt bra lösenord från början.

Sluta tvinga användare att byta lösenord. Debatten om nyttan med obligatoriska lösenordsbyten har förts under åtminstone ett decennium. Det finns stöd i forskning att det här med att tvinga användare att byta lösenord regelbundet inte är så bra som man tidigare trott, att det ibland till och med kan vara kontraproduktivt.

Ändå finns det en seglivad tradition hos många verksamheter som tvingar användare att byta lösenord både ofta och regelbundet. Detta är enligt min bestämda uppfattning rent vansinne.

Stulna lösenord utnyttjas direkt

I många verksamheter tvingas användarna att byta lösenord med 30, 60 eller 90 dagars mellanrum. Byten som inte ger några som helst fördelar eftersom stulna lösenord i allmänhet utnyttjas relativt omgående.

Tvingande och täta byten av lösenord bidrar tvärtom till att många användare inte uppfattar lösenorden som speciellt känsliga och både delar med sig av och återanvänder dem. Och glömmer bort dem.

I en stor verksamhet blir hundratals lösenord bortglömda varje dag och måste bytas ut med mer eller mindre säkra rutiner. Hanteringen av användarnas lösenord är med andra ord jobbig, dyr och mycket osäker.

Användare som tvingas byta lösenord ofta är också mer benägna att välja svagare lösenord även om de visserligen byter regelbundet görs det ofta på ett sätt som är förutsägbart och lätt att gissa. Tänk på saken.

Lösenord skapas i all hast

Problemet med regelbundna byten är att man inte alls tar hänsyn till omaket det innebär att tvingas byta ett lösenord utan egentlig anledning mer än att en viss tid förflutit, oftast när det är väldigt opassande. Därför blir det många gånger ett lösenord som tillkommer i all hast och valet görs med utgångspunkt från att användaren inte ska glömma det meddetsamma eftersom denne förmodligen satt mitt uppe i någonting annat.Resultatet blir ett lösenord som förmodligen är alltför enkelt att gissa eftersom det inte fanns tid att tänka efter.

I vissa fall tvingar lösenordsregler oss att använda lösenord som inte går att komma ihåg eftersom de ska vara så långa och så komplexa som möjligt. Den regeln kanske fungerar om vi bara har ett fåtal lösenord att hålla reda på, men knappast för de dussintals lösenord som många av oss använder i våra liv på internet. Dessutom är vi väldigt dåliga på att göra slumpmässiga val.

Lösenorden blir ofta lika

Längre fraser visar sig också ofta vara obetydligt bättre än vanliga traditionella lösenord. Och som sagt, som om det inte vore nog insisterar de flesta lösenordsregler på att vi måste byta dem. Ofta. Och regelbundet.

När vi tvingas att byta ofta och regelbundet är risken överhängande att det nya lösenordet är väldigt likt det gamla. Angripare kan oftast räkna ut det nya lösenordet om de har något av de gamla.

Byt bara om lösenordet röjts

Den enda gången man verkligen måste byta lösenord är om man misstänker att det har blivit röjt eller om det har framkommit metoder som gör att de lösenord man använder försvagats (behöver fler tecken eller mer entropi) och åtminstone det senare inträffar inte så ofta.

Hur skapar man säkert lösenord

I höstas publicerade vi en rapport om svenskarnas lösenordsvanor. Där finns också råd och rekommendationer om vad man ska tänka på. Läs den så lär du dig hur du skapar dig säkra lösenord direkt.

Etiketter: , , , ,
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • David 19 januari 2017, kl 20.02

    Jag skulle verkligen vilja att min arbetsgivare (landsting) lyssnade på dig. Vi tvingas i två system byta lösenord en gång var 90e dag. Vi är ganska många som har tex eget eller barns namn och sedan ett löpnummer som lösenord :-/

    Svara
  • мicκe ... 22 januari 2017, kl 00.13

    Varför pratas det så lite om 2-stegsverifiering? Då spelar det ju ingen roll om någon kommer över ditt lösenord, så länge de inte har snott din mobil OCKSÅ!

    Svara
    • Anne-Marie Eklund Löwinder
      Anne-Marie Eklund Löwinder 25 januari 2017, kl 09.03

      Hej, tack för din synpunkt. Min uppfattning är kanske att det pratas mycket om det, men få tillämpar det. Jag skrev ett till blogginlägg på just det temat som publicerades dagen därpå. https://www.iis.se/blogg/losenord-ar-inte-langre-tillrackligt-for-att-skydda-uppgifter/

      Svara
    • Daniel W 26 januari 2017, kl 15.26

      Vid tvåstegsverifiering via mobiltelefon kan det för en angripare räcka med att via malware, hacking, buggar, sociala attacker etc. mot abonnenten, teleoperatören eller den berörda tjänsten, lyckas styra över verifieringen till ett annat abonnemang, bereda sig tillgång till abonnemanget eller lyckas avlyssna verifieringen. Den behöver också utformas så att användaren INTE tror lösenordets egen säkerhet blir mindre viktig, och därför kan frestas att bli slarvigare.

      Svara
  • Mattias 2 februari 2017, kl 08.54

    Alltså, det verkar ofta vara standarder, t.ex. PCI DSS, som kräver lösenordsbyten var 90:e dag. Vad gör IIS för att påverka dessa?

    Svara