Det er på høy tid at også noen her i Norge tar til orde for å skrive ned sine passord. Selv har jeg over 150 passord og PIN-koder, og selv om passord er en lidenskap for meg, så er det ikke sjangs for at jeg klarer å huske alle sammen. Så jeg har skrevet dem ned, så godt som alle sammen. Ikke bare det, men jeg har dem lagret på pc'en min også. Detaljene på det skal jeg komme med i neste bloggpost.
Så lenge vi må forholde oss til bruk av passord og PIN-koder, så vil det sikreste være at man klarer å huske dem. Dette er det en rimelig universal enighet om. Imidlertid, gjennom mine ca 9 år med "forskning" på passord, så har jeg for lengst innsett at å kreve eller anbefale å huske alle passord ikke fungerer i praksis. (Stor takk til mamma, søstre, familie, venner, kolleger og andre som alle har bidratt til den innrømmelsen)
Det fungerer ikke å kreve eller anbefale unike passord pr tjeneste, og huske dem alle sammen. Det blir ikke noe bedre når passordene helst skal skiftes med 60-90 dagers mellomrom. Bankenes krav til sine kunder om at de aldri må skrive ned passord eller PIN-koder er urimelig, og resultatet er at kundene antagelig bruker samme passord overalt, skriver dem ned, og endrer dem aldri (om de ikke blir tvunget til det). De sender jo ut passord og PIN-koder på papir i posten til oss, og lar oss ikke endre dem selv i en del tilfeller!
Så skriv ned passordene dine!
Forklaringen er enkel. Svært enkel. Du lager gode (=lange) og unike passord for hver eneste tjeneste du har registrert deg på, og skriver dem ned på et ark, i en notatbok eller lignende. Legg den ved pc'en hjemme eller i en låst skuff på jobben. Hvem, og ikke minst hvor mange er det som har fysisk tilgang til den? 2? 5? 10 personer? noen titalls kanskje på jobben? Uansett folk du har litt mer tillit til enn ukjente mennesker på Internett på andre siden av kloden.
Dersom du har et dårlig passord (<8 tegn), og i tillegg bruker det på en rekke ulike tjenester på internett, så er det vel over 1 milliard mennesker på Internett som kan klare å gjette seg frem til det dårlige passordet ditt.
Vurderingen blir enkel: dersom noen stjeler passordlisten din så kan du antagelig finne ut av det relativt enkelt - og saken kan poltianmeldes. Det er litt større sannsynlighet for at politiet henlegger saken når det finnes 1 milliard+ mistenkte.
Så til alle dere som lager passordkrav og anbefalinger; støtt opp om dette. Det er på tide å ta til fornuften. (Til alle banker i Norge: førstemann til fornuften får en ny kunde, siden jeg nettopp har erklært meg grovt uforstandig med mine passord og PIN-koder)
For de av mine kolleger i bransjen som nå mener at jeg bør innlegges på psykiatrisk, ta en kikk her: Jesper's Blog og her: Schneier on Security. Jeg tar gjerne i mot kommentarer!
No comments:
Post a Comment
All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.