Regelbundna lösenordsbyten gör det bara värre

Imorgon, den 20 januari, är det Lösenordsbytardagen men det är onödigt, meningslöst och ibland väldigt kostsamt att tvinga folk att byta lösenord. Det bästa är att skaffa sig ett riktigt bra lösenord från början.

Sluta tvinga användare att byta lösenord. Debatten om nyttan med obligatoriska lösenordsbyten har förts under åtminstone ett decennium. Det finns stöd i forskning att det här med att tvinga användare att byta lösenord regelbundet inte är så bra som man tidigare trott, att det ibland till och med kan vara kontraproduktivt.

Ändå finns det en seglivad tradition hos många verksamheter som tvingar användare att byta lösenord både ofta och regelbundet. Detta är enligt min bestämda uppfattning rent vansinne.

Stulna lösenord utnyttjas direkt

I många verksamheter tvingas användarna att byta lösenord med 30, 60 eller 90 dagars mellanrum. Byten som inte ger några som helst fördelar eftersom stulna lösenord i allmänhet utnyttjas relativt omgående.

Tvingande och täta byten av lösenord bidrar tvärtom till att många användare inte uppfattar lösenorden som speciellt känsliga och både delar med sig av och återanvänder dem. Och glömmer bort dem.

I en stor verksamhet blir hundratals lösenord bortglömda varje dag och måste bytas ut med mer eller mindre säkra rutiner. Hanteringen av användarnas lösenord är med andra ord jobbig, dyr och mycket osäker.

Användare som tvingas byta lösenord ofta är också mer benägna att välja svagare lösenord även om de visserligen byter regelbundet görs det ofta på ett sätt som är förutsägbart och lätt att gissa. Tänk på saken.

Lösenord skapas i all hast

Problemet med regelbundna byten är att man inte alls tar hänsyn till omaket det innebär att tvingas byta ett lösenord utan egentlig anledning mer än att en viss tid förflutit, oftast när det är väldigt opassande. Därför blir det många gånger ett lösenord som tillkommer i all hast och valet görs med utgångspunkt från att användaren inte ska glömma det meddetsamma eftersom denne förmodligen satt mitt uppe i någonting annat.Resultatet blir ett lösenord som förmodligen är alltför enkelt att gissa eftersom det inte fanns tid att tänka efter.

I vissa fall tvingar lösenordsregler oss att använda lösenord som inte går att komma ihåg eftersom de ska vara så långa och så komplexa som möjligt. Den regeln kanske fungerar om vi bara har ett fåtal lösenord att hålla reda på, men knappast för de dussintals lösenord som många av oss använder i våra liv på internet. Dessutom är vi väldigt dåliga på att göra slumpmässiga val.

Lösenorden blir ofta lika

Längre fraser visar sig också ofta vara obetydligt bättre än vanliga traditionella lösenord. Och som sagt, som om det inte vore nog insisterar de flesta lösenordsregler på att vi måste byta dem. Ofta. Och regelbundet.

När vi tvingas att byta ofta och regelbundet är risken överhängande att det nya lösenordet är väldigt likt det gamla. Angripare kan oftast räkna ut det nya lösenordet om de har något av de gamla.

Byt bara om lösenordet röjts

Den enda gången man verkligen måste byta lösenord är om man misstänker att det har blivit röjt eller om det har framkommit metoder som gör att de lösenord man använder försvagats (behöver fler tecken eller mer entropi) och åtminstone det senare inträffar inte så ofta.

Hur skapar man säkert lösenord

I höstas publicerade vi en rapport om svenskarnas lösenordsvanor. Där finns också råd och rekommendationer om vad man ska tänka på. Läs den så lär du dig hur du skapar dig säkra lösenord direkt.

Etiketter: , , , ,

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.