Hvad er adgangskodedrejning, og hvordan gør man det korrekt?

Vi har talt om, hvor svært det er at oprette en god adgangskodepolitik. En del af problemet ligger i det faktum, at dette ikke er en sæt-og-glem opgave. Virksomheder skal løbende tilpasse sig skiftene i online-trusselandskabet, og deres adgangskodepolitikker skal ændres i overensstemmelse med de nyeste tendenser og ændringer. Sker dette i virkeligheden?

I 2016 anbefalede National Institute of Standards and Technology (NIST), et ikke-regulerende agentur, der er en del af den amerikanske regering, virksomhederne om ikke at tvinge deres medarbejdere til at ændre deres adgangskoder med nogle få måneder. Dette var det nøjagtige modsætning til, hvad virksomhederne tidligere var blevet informeret om, men NIST sagde, at der var rigelig bevis for, at den obligatoriske adgangskodeskift påvirker folks online sikkerhed. Mange eksperter bifalder NISTs rådgivning og fortsætter med at støtte den, men på trods af dette, selv nu, tæt på fire år senere, tvinger nogle organisationer stadig deres ansatte til regelmæssigt at ændre deres adgangskoder.

Hyppige ændringer af adgangskode fører til kodeordrotation

Det største problem med at tvinge folk til ofte at ændre deres adgangskoder er, at den stress, du lægger på dem, fører til fejl, der kan have alvorlige konsekvenser for deres online sikkerhed. I ved alle, hvor svært det er at oprette en stærk adgangskode, og du kan kun forestille dig, hvor hårdt det kan være, hvis du har brug for det regelmæssigt.

Fordi det er sådan en byrde, vælger folk, der har brug for at ændre deres adgangskoder, ofte at gemme sig selv besværet og foretage enkle ændringer af deres eksisterende adgangskoder (f.eks. At bytte "password1" til "password2"). En anden strategi, folk har vedtaget, er at oprette en begrænset liste med tre eller fire adgangskoder, som de periodisk roterer.

Sikkerhedseksperter kan angive flere årsager til, at adgangskodedrejning er en dårlig idé. Brugeren forsøger normalt at huske de tre eller fire adgangskoder, og som et resultat er legitimationsoplysningerne ikke særlig stærke. Et andet problem kommer fra det faktum, at adgangskoderne hver gang og igen bliver gyldige. I teorien, hvis en hacker har et af de adgangskoder, du roterer, kan de med jævne mellemrum teste det mod din konto, og til sidst får de timingen rigtigt og vil bryde ind med succes.

Den overordnede sag mod periodiske ændringer af adgangskode stammer fra det faktum, at cyberkriminelle ikke venter på, at du ændrer din adgangskode, før de prøver at kompromittere din konto, men den gentagne karakter, som legitimationsoplysningerne skiftes til i et rotationsscenarie med adgangskoder, gør folk, der vælger denne strategi er særligt sårbar. Desværre, som vi allerede nævnte, nogle gange er de andre indstillinger begrænsede.

Hvad kan du gøre, hvis adgangskodedrejning er den eneste mulighed?

Nogle organisationer håndhæver stadig regelmæssige ændringer af adgangskode, hvilket betyder, at adgangskodens rotation er meget levende og sparkende. Værre er det, at der er virksomheder, der ikke tillader brug af en password manager, hvilket kan fjerne behovet for at rotere adgangskoder fuldstændigt.

Hvis du har lidt andet valg end at rotere en liste med adgangskoder, kan du i det mindste forsøge at afbøde risikoen så meget som muligt. Brug en bred vifte af tegn, og gør adgangskoder så tilfældigt udseende som muligt. Ved at oprette et større antal adgangskoder begrænser du yderligere chancerne for et vellykket kompromis, men du skal sørge for, at de er væsentligt forskellige fra hinanden. Sidst, men ikke mindst, skal du kontakte den ansvarlige for at oprette adgangskodepolitikken i din virksomhed og fortælle dem, at deres ideer om en sikker ramme desværre er forældede.