Vad är lösenordsrotation och hur gör man det på rätt sätt?

Vi har talat om hur svårt det är att skapa en bra lösenordspolicy. En del av problemet ligger i det faktum att detta inte är en uppsättning och glöm uppgift. Företag måste ständigt anpassa sig till förändringarna i online-hotlandskapet, och deras lösenordspolicy ska ändras i enlighet med de senaste trenderna och förändringarna. Händer detta i verkligheten?

Tja, 2016, National Institute of Standards and Technology (NIST), ett icke-tillsynsorgan som är en del av den amerikanska regeringen, rådde företag att inte tvinga sina anställda att byta lösenord med några månader. Detta var precis motsatsen till vad företag tidigare hade informerats om, men NIST sade att det fanns gott om bevis för att den obligatoriska lösenordsändringen påverkar människors online-säkerhet. Många experter applåderade NIST: s rådgivande och fortsätter att stödja den, men trots detta, även nu, nära fyra år senare, tvingar vissa organisationer fortfarande sina anställda att regelbundet ändra sina lösenord.

Ofta lösenordsändringar leder till lösenordrotation

Det huvudsakliga problemet med att tvinga människor att ändra sina lösenord ofta är att den stress du lägger på dem leder till misstag som kan få allvarliga konsekvenser för deras online-säkerhet. Ni vet alla hur svårt det är att skapa ett starkt lösenord, och ni kan bara föreställa er hur tufft det kan vara om ni behöver göra det regelbundet.

Eftersom det är en sådan börda väljer människor som behöver ändra sina lösenord ofta att spara själva besväret och göra enkla ändringar av sina befintliga lösenord (t.ex. byta "lösenord1" för "lösenord2"). En annan strategi som folk har antagit är att skapa en begränsad lista med tre eller fyra lösenord som de regelbundet roterar.

Säkerhetsexperter kan lista flera skäl till varför lösenordsrotation är en dålig idé. Användaren försöker vanligtvis memorera de tre eller fyra lösenorden, och som ett resultat är referenserna inte särskilt starka. Ett annat problem kommer från det faktum att lösenorden då och då blir giltiga. I teorin, om en hacker har ett av de lösenord du roterar, kan de regelbundet testa det mot ditt konto, och så småningom får de rätt tidpunkt och kommer att bryta in med framgång.

Det övergripande fallet mot periodiska lösenordsändringar härrör från det faktum att cyberbrottslingar inte väntar på att du ändrar ditt lösenord innan de försöker kompromettera ditt konto, men den repetitiva karaktären med vilken referenser växlas med i ett lösenordsrotationsscenario gör att människor som väljer denna strategi särskilt sårbar. Tyvärr, som vi redan nämnde, ibland är de andra alternativen begränsade.

Vad kan du göra om lösenordsrotation är det enda alternativet?

Vissa organisationer verkställer fortfarande regelbundna lösenordsändringar, vilket innebär att lösenordets rotation är mycket levande och sparkande. Det är värre att det finns företag som inte tillåter användning av en lösenordshanterare, vilket kan eliminera behovet av att rotera lösenord helt.

Om du inte har något annat val än att rotera en lista med lösenord kan du åtminstone försöka minska riskerna så mycket som möjligt. Använd ett stort antal karaktärer och gör lösenorden så slumpmässiga som möjligt. Genom att skapa ett större antal lösenord begränsar du ytterligare chansen för en framgångsrik kompromiss, men du måste se till att de skiljer sig väsentligt från varandra. Sist men inte minst, kontakta den ansvariga för att skapa lösenordspolicyn i ditt företag och berätta för dem att deras idéer om ett säkert ramverk är tråkigt föråldrade.