I slutten av mai gikk Microsoft offisielt inn for å fjerne jevnlige passordbytter fra sine offisielle sikkerhetsanbefalinger. Den eldgamle passordpolicyen har vært en pest og en plage for brukere verden over i lang, lang tid.
Du dukker opp på jobb og får plutselig beskjed om at du må bytte passord. Det er bare to måneder siden sist. Hvilket skal du bruke denne gangen. Høres scenariet kjent ut? Nå er det altså over og ut. Det får passordekspert Per Thorsheim til å juble.
Passordekspert jubler
– Dette feires med kaker og brus. I 19 år har jeg etterspurt disse retningslinjene fra Microsoft, sier passordentusiasten til digi.no.
Thorsheim jobber som sikkerhetsekspert i Nordic Choice Hotels og har vært en aktiv ildsjel i verdens sikkerhetsmiljø i en årrekke. Han har sin egen passordkonferanse, PasswordCon, og er jevnlig brukt som sikkerhetsekspert av norske medier.
– Passordinteressen min kom da jeg jobbet som penetrasjonstester for PWC på 90–tallet. Hverken jeg eller Microsoft mener nå at man aldri skal bytte passord, men så ofte som hver 60. dag er for ofte. Passord bør byttes hver 13, 14 eller 15. måned, sier Thorsheim til digi.no.
Innført som standard i 2003
Han mener at selv om Microsoft nå går bort fra den eldgamle anbefalingen, som ble innført som standard i 2003, bør vi være forsiktige med å juble for tidlig.
– Det nytter ikke bare å skru av jevnlig passordbytte og tro at alt er bra. Man må gjøre kompenserende tiltak først, sier Thorsheim.
Passordreglene som vi alle har fulgt frem til den siste dagen i mai ble utformet ved det Nasjonale Instituttet for Standarder og Teknologi. Mannen bak rapporten, med navnet «NIST Special Publication 800–63. Appendix A», heter Bill Burr.
Burr anbefalte at alle måtte bytte passord ofte, og at passordene måtte ha mellom åtte og 16 tegn, minst én stor bokstav, ett spesialtegn og ett tall.
Mannen med rådene angrer
Burr har siden innrømt at han angrer på anbefalingene. Amerikaneren begrunner det med at det ikke finnes empiri for noen av rådene som ble utformet.
– Rådene har i stor grad vist seg å være feil. Jeg angrer på mye av det jeg gjorde, sa han til Wall Street Journal (bak betalingsmur) i 2017.
Innviklede passord er ikke nødvendigvis sikrere enn tilsynelatende enkle passord. En frase som «!z0@tb4F» har 46–bits entropi og vil ta dagesvis å knekke med dagens teknologi.
Samtidig krever det poetiske «Erlend, en fjasemikkel!», som har 85–bits entropi, århundrer å knekke. Og det er det siste alternativet Thorsheim anbefaler at de fleste av oss benytter når vi lager oss et nytt passord.
Bruk en enkel setning
Om de poetiske passordene i tillegg kombineres med mindre regelmessige passordbytter, har vi en vinnende oppskrift, argumenterer passordeksperten.
– Be de ansatte om å bruke en enkel og positiv setning som passord. Disse er lett å huske, og jeg tror de fleste på sikt kommer til å finne ut at de synes det er bedre sånn. Om jevnlig passordbytte skrus av, bør alle ansatte ha passord som er på minimum 15 tegn, argumenterer han til digi.no.
De fleste store internasjonale IT–gigantene har for lengst fjernet standardkravet om jevnlig passordbytte og kompliserte passordoppbygninger.
Flere selskapene bruker andre sikkerhetsmekanismer som er mye bedre.
Bruker avanserte metoder
Mange av selskapene lager informasjon de trenger om brukerne som cookies, og kan dermed med ganske stor sannsynlighet si om brukeren som taster inn passordet faktisk er den samme som har laget det.
Dette kan gjøres ved å ha kontroll på blant annet browser, språk og IP–adresse brukeren sitter på.
Om noen av parameterne ikke matcher vil en rød varsellampe gå, og du vil mest sannsynlig få beskjed om å logge inn ved hjelp av en sekundær innloggingsmetode.
– Dette er for avansert å innføre for norske, mellomstore selskaper, så derfor bør de heller følge de nye retningsreglene til Microsoft og i tillegg bruke et lenger passord for alle ansatte, sammenfatter Thorsheim til digi.no.