Advarer mod dårlig password-praksis: Vi genbruger og sjusker med adgangskoder

Center for Cybersikkerhed advarer mod hyppige skift af adgangskoder, fordi det i sidste ende forringer sikkerheden.

Center for Cybersikkerhed ændrer nu retningslinjerne for adgangskoder på grund af en uhensigtsmæssig og dårlig praksis samt adgangskoder, der er for svage. (Foto: henning Bagger © Scanpix)

Danmarks cybersikkerhed er udfordret på grund af dårlig password-praksis og uhensigtsmæssig omgang med adgangskoder.

Sådan lyder beskeden fra Forsvarets Efterretningstjenestes Center for Cybersikkerhed (CFCS), der derfor ændrer den officielle vejledning for passwordsikkerhed.

- Problemet er, at når vi skifter adgangskoder, så ændrer vi dem til noget, der minder meget om det tidligere. På den måde bliver sikkerheden ikke bedre, men faktisk dårligere, siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed.

- Derfor foreslår vi, at man genovervejer praksis med regelmæssige adgangskodeskift og i stedet stiller krav om, at adgangskoderne skal være længere, men til gengæld undlader at skifte dem så ofte, som man gør i dag, siger han.

Genbruger koder eller skifter kun et enkelt tal

Tidligere anbefalede man at skifte adgangskode med jævne mellemrum, hvilket mange der benytter computere på arbejdspladsen sikkert genkender.

Men de konstante krav om nye, lange og komplicerede passwords har øget risikoen for, at sikkerheden i sidste ende bliver ringere.

Simpelthen fordi brugerne genbruger adgangskoder til flere konti, kun ændrer et enkelt tal eller vælger koder, der er nemme at huske og dermed knække for hackere, lyder det fra Center for Cybersikkerhed.

Derfor sætter Forsvarets Efterretningstjeneste nu gang i en kampagne, der skal fortælle it-udviklere, -driftsfolk samt ledelserne i virksomheder, organisationer og offentlige myndigheder - og ikke mindst helt almindelige borgere - hvordan man styrker sikkerheden for adgangskoder.

Minister: Gamle krav gav dårlig samvittighed

Forsvarsministeren fortæller, at det danske samfund har et ‘forbedringspotentiale’ hvad angår adgangskoder.

- En af udfordringerne er, at folk laver passwords, der er for nemme at gennemskue, fordi de selv risikerer at glemme dem. Der siger vi nu, at det er vigtigere at lave et svært password end at ændre det ofte, siger Trine Bramsen (S).

Ministeren frygter, at man har styrket den dårlige samvittighed i stedet for it-sikkerheden med de hyppige krav om skift af kodeord.

- Det væsentlige er ikke, at vi giver danskerne dårlig samvittighed ved at bede dem om at overholde krav, som de færreste kan leve op til. Det væsentlige er, at vi sørger for, at danskerne er bedre beskyttet. Der er et langt password vigtigere, end at man skifter det ofte, konstaterer Trine Bramsen.

Antal adgangskoder stiger

Ifølge Center for Cybersikkerhed ændrer man retningslinjerne, fordi der også kommer flere adgangskoder ind i hverdagen i takt med udviklingen.

- Jeg har selv omkring 100 passwords, og dem kan jeg selvfølgelig ikke huske, hvis de alle skal være unikke. Derfor anbefaler vi, at man bruger en passwordmanager, der er et lille program på telefonen eller computeren, som husker alle kodeordene, siger Thomas Lund-Sørensen.

Ifølge Center for Cybersikkerhed skal en stærk adgangskode, der ikke indeholder tal eller symboler, være mindst 20 tegn lang.

Sådan laver du en stærk adgangskode

  • Tænk på en sætning

  • Gerne noget personligt, der er lettere at huske - og lav den til et password.

  • Her tager man de to første bogstaver, det første med stort, fra ordene i en sætning:

  • Sætningen 'Husk! Bestil 1000 liter olie til fyret' bliver på den måde til adgangskoden 'Hu!Be1000L.OlTiFy'.

  • Adgangskoden skal minimum være 12 tegn lang.

  • Forkort med tegn

  • Man kan også forkorte ordene, erstatte dem med specialtegn, eller kun benytte det første bogstav:

  • Sætningen 'Danmark blev nummer fire til europamesterskabet i fodbold i 1964' bliver på den måde til 'DKb#4=EMif-64'.

  • Tilfældige ord

  • Find nogle tilfældige ord uden sammenhæng, der samtidig er nemme at huske. Bruger man ikke specialtegn, skal adgangskoden mindst være 20 tegn lang.

  • For at styrke adgangskoden, kan man bruge specielle hjemmelavede 'regler'.

  • Eksempelvis her, hvor bogstav nummer to i hvert ord er med stort. Samtidig er der med vilje lavet stavefejl:

  • Ordene 'cykle motion stol paradis' bliver med den metode til adgangskoden 'sYklemOtjonsTolpAradis'.

Kilde: CFCS, vejledning i passwordsikkerhed