Wednesday, August 25, 2010

Statlige passordanbefalinger


Dette er en bloggpost myntet direkte på NorSIS og Nettvett (Post- og teletilsynet).

Det er ment som en direkte oppfølger av intervjuet av meg som Bergens Tidende publiserte på sine nettsider lørdag 21 august, og som ble kjørt samme dag også hos Aftenposten, Stavanger Aftenblad og Fædrelandsvennen. Retter også en takk til Hans Petter Østrem i Symantec, Thomas Evensen ved UiB og professor Audun Jøsang ved UniK, som alle uttalte seg til BT om saken.

Jeg har kritisert NorSIS og Nettvett for de passordanbefalinger de gir også tidligere, både muntlig og i tidligere bloggposter her på min blogg. Først og fremst; dere gjør mye bra også! Jeg er bare litt mer interessert i passord enn alle andre, derav min kritikk samt ønske om endringer.


For å illustrere dette enkelt, så har jeg laget en sammenligningsoversikt over de anbefalinger som NorSIS og Nettvett har på sine sider. (Jeg har linket til dokumentkildene hos dere nederst i denne bloggposten.)

Klikk på bildet for full størrelse
 Som dere ser, dere er enige om 3 anbefalinger:
  1. Passord, uansett system/løsning, bør være minimum 8 tegn lange
  2. Passord bør inneholde både store og små bokstaver
  3. Ett felles tips er å ta første bokstav fra hvert ord i en setning og bruke det som passord
De øvrige anbefalingene spriker språkmessig, de kan tolkes vidt forskjellig, og flere av dem er umulige å implementere i praksis for en stakkars systemansvarlig.

Dere er staten. Deres anbefalinger vil  bli ansett som enten minstekrav eller god praksis av jurister og advokater når det i fremtiden dukker opp saker hvor ting har gått galt. Stilles det spørsmål til passordsikkerhet i systemer og leveranser, så liker de meget godt å finne eksterne regulatoriske krav, standarder og anbefalinger som sier hvordan ting bør være. Jeg finner ingen andre statlige etater, direktorat, tilsyn osv som har tilsvarende offentlige anbefalinger tilgjengelig, ergo er deres anbefalinger statens passordanbefalinger. Hvis dere vil fraskrive dere ethvert ansvar for anbefalingene, så vennligst fjern dem fra nettsidene deres.

Jeg mener at de fleste av anbefalingene kan fjernes. Det er noen hovedårsaker til det:
1. Tilnærmet ingen etterlever dem allikevel - de er for avansert for vanlige brukere
2. De kan ikke implementeres - så fremt ikke "1984" blir realisert
3. De vil i mange tilfeller ha svært begrenset, om noen målbar effekt for sikkerheten i det hele tatt

For vanlige forbrukere:
  1. Bruk gjerne vanlige setninger på norsk som passord - også kjent som "passfraser" - minst 10 tegn lengde.
  2. Bruk unike passord på hver enkelt tjeneste;
  3. Dersom du har problemer med å huske passfrasene, så skriv dem ned!
  4. Bytt passord til noe helt nytt dersom du tror ditt passord kan ha kommet på avveie
 For bedrifter:
  1. Følg pkt 1-3 over
  2. Sett minstekrav til passordlengde i systemene (minst 10 tegn)
  3. Sørg for at nye systemer tilpasses til å tillate lange passord (<=128 tegn er bra)
  4. Sørg for at utviklere og leverandører leverer løsninger som tilfredstiller kravene!
  5. Skift ALLTID standard brukernavn og passord før en løsning tas i bruk, der hvor det er mulig!
For systemansvarlige, helpdesk og utviklere:
  1. Implementer og etterlev virksomhetens passordregler, ikke noen du selv finner på.
  2. Dersom det gjøres endringer i reglene, så implementer dem, og tving skifte av passord på alle ASAP for å komme i overensstemmelse med nye regler.
  3. Ikke finn opp hjulet på nytt. Det finnes mengder av dårlige - og gode - eksempler på hvordan man implementerer passordløsninger i applikasjoner, databaser og operativsystemer.
  4. Implementer løsninger som oppdager og stanser gjentatte påloggingsforsøk mot enkelte eller mange kontoer i systemene.
  5. Aldri gi brukeren det samme passordet som tidligere. Sørg for at alle får nye, lange og unike passord hver gang de trenger det. Sørg for at bruker skifter passordet snarest mulig etterpå.
De ulike punktene kan selvfølgelig utdypes enda mer, men for overordnede anbefalinger bør dette være mer enn nok.

Første steg kan gjerne være å koordinere anbefalingene mellom NorSIS og Nettvett, korrigerer språklig forståelse samt sørger for konsistens mellom de ulike websidene som omhandler passord.

Dokumentkilder hos Nettvett:
Beskytt brukernavn og passord
Slik lager du et sikkert passord
Nettvettregler for passord

Dokumentkilder hos NorSIS:
Passordvett
Datavettregler
Håndbok for informasjonssikkerhet

4 comments:

  1. Hvordan tror du at NettVett og NorSIS skal kunne koordinere passordanbefalinger, når de ikke klarer å koordinere noe annet?

    ReplyDelete
  2. Jeg valgte å publisere ovennevnte kommentar under tvil. Jeg ser helst at jeg/vi/de får litt mer konstruktive tilbakemeldinger enn denne...

    ReplyDelete
  3. Takk for at du setter fokus på passordproblematikk! Slik vi leser bloggen din så mener du at vi har for mange nettvettregler for bruk av passord og at vi gir andre råd enn det NorSIS gjør.
    Det er vi vel ikke helt enig i, men du har et poeng med at det er enklere for folk å huske færre regler! Vi har derfor valgt å kutte ned på reglene våre. Dette er også i overensstemmelse med NorSIS som vi har en tett og god dialog med.
    Ta gjerne en titt på de reviderte nettvettreglene for passord og les mer på våre passordsider.

    Vi er veldig glad for konstruktiv tilbakemelding vedrørende innholdet på våre sider – vi ser frem til flere blogginnlegg!

    Mvh
    Line Ugland Nyseth
    Faglig ansvarlig for nettvett.no

    ReplyDelete
  4. Takk for tilbakemelding, setter veldig stor pris på det! Er glad for at dere har gjort endringer, ser også at NorSIS har gjort tilsvarende.

    Jeg vil komme med flere blogginnlegg som ytterligere forklarer mine anbefalinger, samt belyser flere områder hvor vi alle fortsatt har et stykke å gå.

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.