Lösenordsbyte på schema är en dålig idé

UK government’s National Technical Authority for Information Assurance (CESG) har motiverat varför de slutat rekommendera påtvingat lösenordsbyte: https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry

Även sammanfattat här: https://kryptera.se/uppmaning-tvinga-inte-regelbundna-losenordsbyten/

Kommentar till detta:

Rent krasst kommer ingen att byta lösenord om det inte upplevs viktigt. Men att förmedla vad som faktiskt är viktigt kommer organisationer med största sannolikhet att misslyckas med på samma sätt som insatser inom ”security awareness” vanligtvis misslyckas med att ändra användarnas beteenden1.

Dessutom kommer mycket få organisationer att ta till sig och agera på sista stycket i inlägget. Det om att utreda och implementera alternativa kontroller.

Säger inte att rådet är fel, men vi inom ”säk” måste styra upp detta!

__

  1. ”Citation needed”, men en det får bli en annan gång.

3 reaktioner på ”Lösenordsbyte på schema är en dålig idé”

  1. Tack för länkningen. Givetvis bör organisationer bevaka lösenordsläckor osv som publiceras på internet. Men långt ifrån alla som har resurser till det

    1. Om man har en publik tjänst med lösenordsinloggning, så visst, då är väl bra att ha koll på läckor. Jag försökte dock lyfta fram just sista stycket i bloggtexten: ”At CESG, we want administrators to think about alternative, more effective system defences they might implement in order to detect and prevent unauthorised account use. …”. Om man bara lyfter bort kravet på lösenordsbyte efter viss tid, utan att införa andra åtgärder, så *vet* vi att användarna inte kommer att byta lösen även då det finns skäl till detta.

    2. Jo, en sak till! Vi har råd att bygga systemen rätt från början. Det är förhållandevis billigt! 🙂

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *