Sunday, March 21, 2010
Write down your password!
Do you have many passwords? How many of them are you able to remember? Do you have the same password across different systems and services? Do you use the same password at work as you do at home - and on Facebook? Write them down - and security will be improved.
It is about time that someone here in Norway speak up and encourage people to write down their passwords. Although I have more than 150 passwords and PINs, and even though passwords is a "passion" for me, there is no chance I can remember them all. So I have written them down, almost all of them. Not only that, but I have them stored on my computer too. (The details on that will come in my next post).
As long as we need to use passwords and PINs, the best option will be remembering them (I think most security experts will agree on that). However, during my approximately 9 years of "research" on passwords, I have long recognized that to require or recommend anyone to remember all their passwords just does not work in real life. (A big "thank you" to my mom, sisters, family, friends, colleagues and others who have all aided me in realizing that)
It does not work requiring or recommending unique passwords per system or service, and to remember them all. It sure doesn't get better when their passwords must be changed with 60-90 day intervals. Norwegian banks require their customers never to write down their passwords or PINs, a requirement i think is highly unreasonable. The result is that customers probably use the same password "everywhere", write them down, and never change them (if they are not forced to it). Funny enough, banks (and card issuers) send out passwords and PINs on paper in closed envelopes in the mail to us, and in many cases they don't allow us to change them.
So write down your passwords!
The explanation is simple. Really simple. You create good (= long) and unique password for every service you've signed up for, and write them down on a piece of paper, in a notebook or the like. Leave it by your computer at home or in a locked drawer at work. Who, not to mention how many are there who have physical access to it? 2, 5, maybe 10 people? Anyhow they will probably be people that you trust just a little bit more than strangers across the globe, on the Internet.
If you have a bad password, and use it on a variety of services across the internet, there's well over 1 billion people on the Internet that may be able to guess that bad password of yours.
The risk assessment is simple: if someone steals your password list, you can probably figure out who did it and report it to the police. If you're lucky they'll even do something about it. With a billion suspects on the Internet they are most likely to drop the investigation.
So to all of you who make password requirements and recommendations; support this. It is time to face the facts, and use common sense here. (To all banks in Norway: the first bank to use common sense in their password requirements gets a new customer, since I have just declared that I do not comply with your requirements for my passwords and PINs).
For those of my colleagues in the industry who now believe that I should be hospitalized and receive psychiatric treatment, take a look here: Jesper's Blog and here: Schneier on Security. I will appreciate any and all feedback from you!
Subscribe to:
Post Comments (Atom)
Du setter det sikkert litt på spissen når du fremstiller det som om det er revolusjonerende å oppfordre folk til å skrive ned passordene. Som du selv viser til, dette er jo råd som har blitt gitt før.
ReplyDeleteProblemet med å gi et generelt råd om å skrive ned sine passord, er at det ikke tas hensyn til kontekstuelle forhold. Her er det mange dimensjoner vi må ta hensyn til, feks:
1. Avgrenser du det til privat bruk, eller bør man også skrive ned passord som du bruker i ditt arbeide?
2. Er det eksplisitte regler mot å skrive ned noen av dine passord?
3. Kan du blir gjort erstatningspliktig dersom du har skrevet ned passordet og det har blitt misbrukt?
4. Har du eget kontor? Arbeider du i åpent landskap med andre kolleger? Arbeider du i et landskap der tilfeldige besøkende oppholder seg?
5. Har du egen arbeidsstasjon, eller deler du denne med andre slik at du må autentisere deg gjentatte ganger gjennom arbeidsdagen?
Listen er ikke uttømmende.
Jeg har et stort antall digitale identiteter. Noen er av helt privat karakter, noen identifiserer meg mot det offentlige og mot finansielle systemer og noen er knyttet til arbeidsplassen min. Bør jeg skrive ned alle sammen? Passordpolicyen til arbeidsgiver forbyr meg eksplisitt å skrive ned passordet, så her står jeg i fare for disiplinære forføyninger dersom det blir avslørt at jeg har skrevet dem ned. Banken kan hevde at jeg selv må dekke noe av tapet dersom det blir klart at PIN-koden var skrevet ned. For det private kan jeg velge selv, og tenker vel at det er forskjell på gmail/facebook og spotify passordene, i alle fall med tanke på kritikalitet.
Min kone arbeider på et sykehus hvor hun ikke har kontor eller egen arbeidsstasjon. Pasienter og pårørende vandrer omkring over alt. Passordlisten må hun i så fall bære med seg.
Jeg har eget kontor, så en kan jo se for seg at jeg låser ned den gule lappen en plass, for å gi det en viss form for beskyttelse. Det går selvfølgelig ikke, for jeg flytter meg jo også rundt. Så passordene må være med. Dessverre har de ulike digitale identitetene forskjellige navn, så det holder jo ikke å bare skrive ned passordet. Hva var det jeg het på spotify igjen? Bjarte? BjarteMalmedal? Bjarte.Malmedal? BjarteM? Muzak-guy? Du kan ende opp med en liste over både brukernavn og passord. Det blir veldig mange egg i kurven vi kaller lommebok.
Sikkerheten for det enkelte system ikke blir bedre av å skrive ned passordet. Man kan ta et META-perspektiv og kanskje oppdage at det en tendens til at folk vil velge samme passord til ulike identiteter, at passordene ikke skiftes ofte nok, at de ikke er komplekse nok osv. At den totale digitale representasjonen av deg kan sikres bedre dersom du skriver ned noen av passordene. Det er imidlertid drøyt å trekke slutningen om at løsningen er å ukritisk oppfordre alle til å skrive ned alle passordene sine.
Vil det være bedre med et gjennomtenkt utvalg av passord som skrives opp og bæres på kroppen?
Kan man bruke teknikker som gjør at du kan bære det med deg, uten å avsløre passordet? (Som feks PIN-kode matrisen, en 10x10 matrise med tilfeldige tall, der kun du vet hvilket geometrisk mønsker som skjuler PIN-koden din. Et kort med flere slike matriser kan inneholde PIN-koden til alle kortene dine).
Er det bedre å velge et passord som er lett å huske men vanskelig å gjette, og så bruke dette på alle identitetene? (GandalfErJaggu1KulFyr)
Passord og økosystemet rundt passordet er ikke lenger enkelt.
Rådet har blitt gitt før som angitt, og jeg mener at flere sikkerhetsfolk burde støtte opp om det rådet.
ReplyDeleteSom jeg også skrev; det beste er om du klarer å huske passordene dine - OG klarer å ha unike gode passord pr tjeneste. Det klarer ikke de fleste, ei heller har de noen interesse av å gjøre det.
På den bakgrunn har jeg gitt min anbefaling, og den vil også bli utdypet nærmere over påske.
PIN-kode matrise osv som du sikter til innebærer at eier må huske bruksmåten istedenfor PIN-koden. Ser ikke helt hvordan det gir nevneverdig bedring av brukeropplevelse eller sikkerhet.
Som sagt; oppfølgende blogpost kommer over påskeferien. Veldig glad for din kommentar Bjarte, og jeg er klar for å forsvare mitt standpunkt. :-)