(Foto: Scanpix)

Ved denne skolen bytter de passord ofte. Det synes norsk sikkerhetsekspert er helt tullete

 

  • Sikkerhet

Sikkerhets­ekspert Per Thorsheim synes at det avleggs å bytte passordene sine ofte. - Det gir ikke mening i et sikkerhetsperspektiv, sier han til digi.no. Foto: Privat
– Å tvinge folk til regelmessig å bytte passord svekker sikkerheten, sier Per Thorsheim til digi.no.

Thorsheim har over 20 års erfaring med informasjonssikkerhet. Han er også anerkjent i verden for sin ekspertise på passord- og autentiseringssikkerhet. Nylig publiserte han dette innlegget om passordsikkerhet på den amerikanske bloggen til StaySafeOnline.org.

Thorsheim mener tiden nå er moden for å kvitte seg med hyppig utskifting av passord.

– Å bytte passord i faste sykluser gir ikke mening. Når man i tillegg ber folk om å lage kompliserte passord, så kollapser de helt når man skal ha hyppig utskifting. Da går brukerne gjerne tilbake til å bruke usikre passord som «mai2016» og lignende, sier sikkerhetseksperten til digi.no.

– Skriv setninger!

Ifølge ham bør man heller gi brukerne mulighet til å slippe å bytte ut passordene sine. Hvis man kombinerer denne praksisen med skikkelig passordopplæring, vil man ha en uslåelig kombinasjon, mener han.

– Om vi klarer å overbevise folk til å lage et langt og sikkert passord er vi langt på vei. Når folk spør meg hva et godt passord er, så sier jeg at de skal skrive en setning. Det spiller ingen rolle hvor lang den er, for en setning inneholder ofte flere ord. I tillegg har den mellomrom mellom ordene, og benytter seg ofte av store bokstaver og andre spesialtegn som komma, punktum og utropstegn. Om man lager en setning som gir en positiv assosiasjon er det også en mye større sannsynlighet for at man husker passordet, oppmuntrer Thorsheim.

Eksperten mener at mange foretak og bedrifter ville spart helpdesken sin for mye arbeid om de gikk bort fra hyppig å skifte ut brukerens passord.

– Frem til 2012 ville jeg kanskje anbefalt at man byttet passord en gang i året, men det er det ikke noen gode argumenter for lengre. Jeg tror bare IT-sjefer og utviklere er for tungrodde, og heller velger å legge ansvaret for sikkerheten over på sluttbrukeren sine i staden for å rydde opp i egen sikkerhet lokalt. Er et passord kompromittert skal man selvfølgelig bytte, understreker han.

Ingen vil gjøre endringer

Kenneth Solstrand er IT-direktør ved Oslo universitetssykehus.
Ingen av de store foretakene digi.no har pratet med har planer om å endre i sine rutiner.

– Her på sykehuset har vi en passordpolicy som innebærer å bytte passord regelmessig. Det springer ut i fra en tanke om at passord kan spres. Vi tillater ikke et hvilket som helst passord. Det finnes en del krav som skal oppfylles, sier Kennet Solstrand til digi.no.

Han er IT-direktør ved Oslo universitetssykehus (OUS) - som har rundt 25 000 brukere av IT-systemene. Solstrand sier at OUS har skjerpet inn passordsikkerhetsrutinene sine det siste året. IT-direktøren er enig i hyppig passordbytte kan oppleves kronglete for brukerne.

– Jeg har sympati for alle de som må bytte passord ofte, da jeg vet av egen erfaring at det er fryktelig mange forskjellige passord man må håndtere i dagliglivet, sier han.

Enkelt å forholde seg til

Solstrand mener allikevel at de tradisjonelle tankene som råder når det kommer til passordutskifting er enkle å forholde seg til. Han mener også det finnes gode måter å håndtere passordforespørsler fra brukere fra.

– Det er ingen tvil om at det går mye tid til å hjelpe brukere med passord, men det gjelder bare å finne gode måter å håndtere det på. Det finnes metoder som gjør at man kan tilbakestille  passordbytte automatisk uten involvering fra support. Sikkerhetsmessig ser jeg ingen gode argumenter for ikke å bytte passord jevnlig. Men ut ifra et brukerperspektiv finnes det selvfølgelig mange, konkluderer han.

Heller ikke ved NTNU har de noen planer om å endre retningslinjene sine.

– Å bygge passord ofte er noe vi kommer til å fortsette med, sier IT-sjef ved NTNU, Håkon Alstad, til digi.no.

Ved det naturvitenskaplige universitetet har de rundt 47 000 aktive brukere - både studenter og ansatte. Alle må bytte passordet sitt med jevne mellomrom.

Går mot andre autentiseringsmetoder

IT-sjef ved NTNU, Håkon Alstad.
– Vi ser jo at ting kan endre seg underveis. Det går jo mer og mer mot andre autentiseringsmetoder, og vi håper at vi kan slippe passord helt. Vi titter på biometriske løsninger. Fingeravtrykkavlesning kunne for eksempel vært aktuelt etterhvert, sier han.

Argumentene for å beholde rutinene som de er i dag er mange, ifølge Alstad.

– At noen få har dårlige passord får oss ikke til å endre regimet. Problemet er jo at mange passord havner på avveie. Folk noterer passordene sine på lapper som de så mister. Derfor må vi beholde retningslinjene som de er i dag, sier IT-sjefen.

Han er enig i at passordutformingen til Thorsheim har noe for seg.

– Om man har en solid grunnstamme å bygge rundt er det ikke så vanskelig å lage solide passord som man husker. «Lisa gikk til facebook!» kan være et eksempel på et slikt passord, sier Alstad.

Ikke alene om rådene

Sikkerhetsekspert Thorsheim sier han ikke er alene om passordrådene.

– Nei, dette er definitivt ikke anbefalinger jeg kommer med alene. Dette er faktisk anbefalinger amerikanske myndigheter har omfavnet. Det er jeg litt stolt av. Lorrie Cranor, direktør ved CyLab Usable Privacy and Security Laboratory har forsket på passordsikkerhet i mange år. Hun har konkludert med at hyppig passordbytte gir dårligere sikkerhet. Regelmessig utbytting av passord er noe som fungerte godt for 30 år siden, men det gjør det ikke i dag, sammenfatter Thorsheim til digi.no.

Til toppen