19 januari 2008

Säkerhetsexperter är ansvariga för dåliga lösenord

DN publicerade igår en intervju med säkerhetsexperten Jakob Schylter från företaget Kirei. Han säger att användarna får skylla sig själva som väljer för dåliga lösenord. Jag måste dock påpeka att säkerhetsexperter och säkerhetsansvariga på många företag är minst lika ansvariga. Jag vet inte om Jakob företräder de åsikter jag kommer kritisera men många säkerhetsexperter och säkerhetsansvariga gör det.

De flesta företag tvingar sina anställda att byta lösnord var 90:e dag. Det görs en kontroll om att man har minst en stor och en liten bokstav, en siffra och kanske också ett annat tecken. Hur lätt är det att komma på ett bra sådant lösenord 4 gånger om året som aldrig tidigare har använt? Istället väljer många ett system för att komma ihåg det. Man tar ett bra ord exempelvis ordet Hejsan lägger på en siffra för att man måste och kanske sedan ett utropstecken. Första lösenordet blir då Hejsan1!, andra blir Hejsan2!. Dessa lösenord knäcker vilket lösenordsknäckarprogram som helst. Dessa svårhanterliga regler gör att användarna tappar respekten för lösenorden.

Orsaken till att man skall byta lösenord regelbundet är att minska tiden för ett lösenord att komma i felaktiga händer. Det är därför engångslösenord som man får från någon slags elektronisk dosa är det bästa. Det beror på att då är varje lösenord bara giltigt några få sekunder. Denna grundtanke till lösenordsbyte är bra, men varför är det så vanligt med just 90 dagar? Varför inte en gång om året eller varje morgon? Jag har försökt hitta källan till detta. Idag är det troligtvis vanligast för att det är standardinställningen i Microsofts behörighetsservrar, men varför har de valt det? Jag har inte lyckats härleda ursprunget. Troligen kommer det från någon amerikansk militär anvisning där någon tyckte det lät rimligt.

Min åsikt är att de ständiga lösenordsbytena leder till dåliga lösenord. Man uppmuntrar till att skapa system för att komma på nya lösenord snabbt och enkelt istället för att få lägga nr tid på att ta fram ett bra lösenord som sedan kontrolleras ordentligt.

Det bästa lösningsförslaget från min sida är att införa engångslösenord, tyvärr är detta fortfarande en ganska kostsam lösning. Ett alternativ kan i stället vara att låta användarna att byta lösenord mer sällan. Samtidigt inför man en rutin att man kör ett lösenordsknäckarprogram. De som har lösenord som knäcks blir personligen kontaktade av säkerhetsansvarig som visar dem deras lösenord, ber dem byta och samtidigt ger en kort beskrivning hur man skapar ett bra lösenord. Jag har själv använt denna metod och den är mycket effektiv. Speciellt delen att presentera lösenordet för användaren. Detta leder till att användarna har bättre lösenord och inte kan använda lösenordssystem enligt ovan.

Såhär långt har jag ju pratat om förtagssystem, men samma sak är inte helt tillämpligt på websiter. Även här bör man köra lösenordsknäckarprogram och varna användarna, men ett större ansvar ligger på den enskilda individen. Det är därför viktigt att ens arbetsplats, skola etc inte har urhålkat respekten för lösenord enligt ovan. Regel ett är att ALDRIG ha samma lösenord på två olika ställen och än mer förbjudet om de två ställena på något sätt kan förknippas med varandra. Den uppmärksamme säger nu "Men, men jag kan väl inte ta fram ett bra lösenord för varje site jag använder. Det blir ju snabbt ett 50-tal lösenord och hur skall jag komma på dem och än mer komma ihåg dem."

Självklart, därför finns det en bra lösning på det. Man skall inte spara lösenorden i webbläsaren då denna är extra exponerad mot Internet. Installera istället ett lösenordshanteringsprogram på din dator som håller ordning på alla dina lösenord och som sparar dem krypterat med ett huvudlösenord. Allra bäst är om de krypterade lösenorden sparas på ett separat minne men det är inte nödvändigt. Lösenordshanteringsprogram finnas också med från början i en hel del mobiltelefoner idag.

Hur fungerar då ett lösenordshanteringsprogram. Första gången man startar det får man välja ett huvudlösenord. Detta lösenord skall du välja med omsorg och enligt alla rekommenderade principer som finns. Sedan matar man in uppgifter om ställena som man har lösenord på. Man kan, självklart, mata in vilket lösenord man har. Eller, och här är den stora poängen, låta programmet generera ett bra lösenord åt sig. Man sparar ner lösenorden. När man behöver ett lösenord så går man in i programmet, anger sitt huvudlösenord och får fram lösenordet för den aktuella siten. På detta sätt behöver man bara kommaihåg ett lösenord.

Jag kommer inte länka till några konkreta förslag då det vore en nackdel om alla valde samma. Det skulle då troligen dyka upp trojaner som försöker komma åt lösenord i just detta program.

Inga kommentarer: