Nytt passord, sier du? Da er du nødt til å ha mellom åtte og 16 tegn, minst én stor bokstav, ett spesialtegn og ett tall. Dessuten må du bytte passordet fire ganger i året.
Kravene er mildt sagt irriterende. I alle fall for de som vet bedre.
Knotete passord har vært på moten lenge. Allerede på 90-tallet begynte selskaper å stille krav til tegn, men det var ikke før i 2003 at de offisielt ble omfavnet av myndighetene og store IT-bedrifter i USA. Derfra var det kort vei til å bli normen på nettet.
– Angrer
Reglene ble utformet ved det Nasjonale Instituttet for Standarder og Teknologi. Mannen bak rapporten, med navnet NIST Special Publication 800-63. Appendix A, heter Bill Burr. Han er i dag 72 år gammel.
Nå beklager han til alle berørte.
– Rådene har i stor grad vist seg å være feil. Jeg angrer på mye av det jeg gjorde, sier han til Wall Street Journal (bak betalingsmur).
Han forklarer at rådene var basert på teorier fra 80-tallet, og at han ikke klarte å skaffe seg tilgang til databaser som inneholdt ekte passord. Empirien uteble, og Burr klarte ikke å forutse problemene som skulle oppstå når rådene ble innført i praksis.
Enkle passord gir like god entropi
For innviklede passord er ikke nødvendigvis sikrere enn tilsynelatende enkle passord. En frase som «!z0@tb4F» har 46-bits entropi og vil ta dagesvis å knekke med dagens teknologi. Samtidig krever det poetiske «Erlend, en pinnekaster!», som har 85-bits entropi, århundrer å knekke.
Entropi-kalkulatoren vi benytter oss av er riktignok basert på bruk av engelsk ordbok, men det er ikke verre enn å legge inn dialektord, kallenavn eller lokale stedsnavn for å også sikre mot norske ordliste-angrep. Forøvrig har den engelske varianten «Earl, a stick-thrower!» 71-bits entropi. Mer enn godt nok for den vanlige bruker.
Obs: Ulike passord-sjekkere gir ulike resultater, men i alle tilfeller vi har kommet over er det lange men enklere passordet best.
Kompliserte passord er også vanskeligere å huske. Dette skaper irritasjon for brukere, og flere passord-tilbakestillinger enn det som er strengt nødvendig. Vanskelige passord fører også til at brukere skriver dem ned på lapper og mobiltelefoner, som igjen er en sikkerhetstrussel.
Unødvendig å bytte ofte
«I snitt vil en voksen person ha minst 20-25 ulike kontoer med ulike passord som må holdes styr på» skriver Per Thorsheim, sikkerhetsekspert og arrangør for passord-konferansen PasswordCon.
Han har tidligere gått hardt ut mot å kreve hyppige passordbytter, som var ett av rådene i rapporten til Bill Burr i 2003. Et av argumentene mot praksisen er at med så mange ulike kontoer, blir det tilnærmet umulig å bytte passord på alle med jevne mellomrom.
I praksis ender de aller fleste med å lage små variasjoner av det samme passordet. Eventuelt veksler de mellom to-tre ulike passord.
- Er passordet ditt trygt? Sjekk mot denne databasen med 306 millioner hackede passord
Slik bør passordene være
– Om vi klarer å overbevise folk til å lage et langt og sikkert passord er vi langt på vei. Når folk spør meg hva et godt passord er, så sier jeg at de skal skrive en setning. Det spiller ingen rolle hvor lang den er, for en setning inneholder ofte flere ord, sa Thorsheim til digi.no i en tidligere artikkel om hyppig passordbytte.
– I tillegg har den mellomrom mellom ordene, og benytter seg ofte av store bokstaver og andre spesialtegn som komma, punktum og utropstegn. Om man lager en setning som gir en positiv assosiasjon er det også en mye større sannsynlighet for at man husker passordet.