Mange gør stadig deres adgangskoder for enkle. Shutterstock / Vitalii Vodolazskyi
I mere end 15 år har der været forskellige forudsigelser fra teknologiledere om adgangskoders død. Bill Gates forudsagde det tilbage i 2004 og Microsoft har forudsagde det i 2021. Der har været adskillige lignende proklamationer imellem, sammen med løbende kritik af adgangskoder som et utilstrækkeligt beskyttelsesmiddel.
Alligevel forbliver adgangskoder et almindeligt aspekt af cybersikkerhed, noget folk bruger hver dag. Hvad mere er, adgangskoder viser et lille tegn på at forsvinde endnu. Men mange mennesker bruger dem stadig dårligt og synes uvidende om anbefalet god praksis.
Det er meget almindeligt for cybersikkerhedseksperter og virksomheder til at bebrejde brugerne for at bruge adgangskoder dårligt uden at erkende, at systemer tillader deres dårlige valg.
Mange websteder tilbyder ingen forhåndsvejledning om, hvordan man vælger de adgangskoder, de kræver, at vi har, måske forudsat at vi allerede kender disse ting eller kan finde det andetsteds. Men det faktum, at folk vedvarer ved brug af svage adgangskoder antyder, at dette er en optimistisk opfattelse.
Forældede råd
Ud over manglende vejledning er det almindeligt at finde websteder, der håndhæver forældede adgangskodekrav. Du er sandsynligvis bekendt med systemer, der insisterer på adgangskodekompleksitet, ved at kræve store bogstaver, tal eller specialtegn for at gøre adgangskoder stærkere (vores svar på hvilket ofte afspejler videoen nedenfor).
Imidlertid den aktuelle vejledning er at tillade kompleksitet, men ikke at kræve det, og grundlæggende betragte adgangskodestyrke som synonymt med adgangskodelængde.
National Cyber Security Center anbefaler, at du opretter en lang adgangskode ved at kombinere tre tilfældige ord, hvilket muliggør noget længere og mere mindeværdigt end mange standardvalg.
Min adgangskodeforsøg
Det er heller ikke nyttigt, at i stedet for at give vejledning og krav fra starten, afslører mange websteder kun regler som reaktion på, at vi prøver ting, der ikke er tilladt. Jeg forsøgte at oprette en adgangskode til et sådant sted. De fleste af mine forsøg fik feedback, der krævede yderligere handling, indtil jeg besluttede mig for et endeligt valg, som blev accepteret uden klage. Men adgangskoden, der blev accepteret, steve !, var kort og ret forudsigelig.
Kæmper med regler. Steven Furnell, Forfatter leveret
Da jeg spillede lidt mere rundt, blev forskellige andre svage valg accepteret. For eksempel 1234a !, abcde1 og qwert! alle opfyldte reglerne, ligesom Furnell1 - hvilket ikke er særlig stærkt, især da jeg allerede indtastede Furnell som mit efternavn andetsteds på tilmeldingsformularen.
I mellemtiden betyder reglerne ofte, at vi ikke kan bruge adgangskoder, som vores enheder automatisk genererer til os, eller dem, vi måske opretter for os selv ved at følge den aktuelle vejledning.
Mange websteder tillader ikke genererede adgangskoder. Steven Furnell
Nogle websteder synes at tro, at de kan kompensere for manglende vejledning ved at bruge teknikker som adgangskodemålere til at bedømme vores valg. Men mens disse giver feedback, er de ikke en erstatning for at give vejledning om, hvordan godt ser ud.
Ved hjælp af et andet websted indtastede jeg en dårlig adgangskode (ordet adgangskode), og den eneste feedback, jeg modtog, var, at adgangskoden er meget svag. Hvis en bruger virkelig tilbød denne adgangskode som et forsøg, skal de fortælle, hvorfor de er svage. Mens du uden tvivl kan finde nogle steder, der giver bedre og mere informativ feedback, er dette eksempel desværre repræsentativt for mange andre.
Regler, der skal følges
Efter at have fremhævet manglen på effektiv vejledning ville det naturligvis være afladet at afslutte uden faktisk at tilbyde nogle. NCSC's vejledning om valg og brug af adgangskoder er angivet og forklaret kort nedenfor:
- Brug en stærk og separat adgangskode til din e-mail - da dette ofte er din rute til at få adgang til andre konti.
- Opret stærke adgangskoder ved hjælp af tre tilfældige ord - dette giver dig stærkere og mere mindeværdige adgangskoder.
- Gem dine adgangskoder i din browser - dette forhindrer dig i at glemme eller miste dem.
- Slå tofaktorautentificering til - dette tilføjer et ekstra beskyttelseselement, selvom din adgangskode er kompromitteret.
Det er nyttigt at supplere dette med yderligere påmindelser, der ikke skal gøres brug den samme adgangskode på tværs af flere konti af frygt for, at et brud på en fører til brud på alle, ikke at dele dem med andre mennesker, for så er det ikke længere din adgangskode og ikke at føre en synlig oversigt over dem. At gemme dem på et beskyttet sted, såsom et adgangskodeadministrationsværktøj, er fint.
Det er bekymrende at tro, at adgangskoder har eksisteret i årtier, og at vi stadig får det forkert. Og de er kun et aspekt af cybersikkerhed, som vi skal bruge korrekt. Dette lover ikke godt for cybersikkerhed mere bredt.
Om forfatteren
Steven Furnell, Professor i cybersikkerhed, University of Nottingham
bøger_sikkerhed
Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs oprindelige artikel.
