Af Eskil Sørensen, 09/03/20
Center for cybersikkerhed (CFCS) har sendt en ny vejledning om kodeord på gaden om kodeord. Nu lyder anbefalingen, at man skal bruge lange kodesætninger, hvor det tidligere handlede om kodeords kompleksitet i form med en kombination af en ikke-meningsgivende sammensætning af bogstaver, specialtegn, tal og små og store bogstaver .
Årsagen til denne ændring er ikke, at komplekse kodeord er blevet nemmere at regne sig frem til for hackere og kodesætninger sværere. Ondsindede hackere anvender alligevel computerkraft til at udregne og afprøve kodeord. Dér er længden afgørende for, hvor lang tid det tager at knække en kode. Problemet er, at komplekse kodeord er så vanskelige at huske for brugerne, at de er tilbøjelige til at genbruge kodeord på tværs af tjenester og ikke skifte dem så ofte som anbefalingen lyder. Og det er ikke godt for sikkerheden.
Den nye anbefaling er derfor lavet af hensyn til brugervenligheden hos brugerne. Lange kodesætninger er nemmere at huske for brugerne, og derfor er de mere tilbøjelige til at have forskellige kodeord til forskellige tjenester.
To-faktor-login og passwordmanager
Når det kommer til login til tjenester, er to-faktor-login dog stadig et af de mest sikre og effektive metoder. Derfor lyder anbefalingen fortsat, at man skal anvende to-faktor-login, hvor det er muligt. Har man dette, kan man godt skrue ned på længden af sin kodesætning, da ondsidende hackere ikke kan komme ind uden at have kombinationen af brugernavn og kodeord og den engangskode, som to-faktor-login'et genererer. Andre anbefalinger fra CFCS går på en generel anvendelse af password-manager. Den hjælper een med at have styr på alle de kodeord, man omgiver sig med. Også dette kan afhjælpe behovet for at genbruge kodeord.
Endelig er der også det universelle råd: Vælg passwordstyrke i forhold til det, passwordet giver adgang til.
Ud over de overordede anbefalinger til karakteren og anvendelse af kodeord, indeholder CFCSs rapport også forslag til kodeordspolitikker. Dette er relevant at læse for sikkerhedskoordinatorer, it-driftsansvarlige og ikke mindst topledelsen i organisationer, der som bekendt har det endelige og overordede ansvar for informationssikkerheden i en organisation.
Når brugernavn og kodeord udgør nøglen til organisationens informationer, så er det et spørgsmål for ledelsen at tage aktiv stilling til, hvilken lås og nøgle, der skal anvendes for at komme ind. Med andre ord: Hvor høj sikkerheden skal være.
Links:
https://fe-ddis.dk/cfcs/nyheder/arkiv/2020/Pages/password-vejledning-passphrases.aspx