Password

12-03-2004

Adgangsbeskyttelse til edb-programmer

Password og IT-sikkerhed hænger meget nøje sammen. For flertallet af brugere er der en del irritation forbundet med det at skulle håndtere mange forskellige passwords.

I de fleste programmer er der mulighed for eller krav om anvendelse af password. Antallet af passwords kan dermed blive endog meget stort.

Det er imidlertid muligt at reducere antallet af forskellige passwords, der anvendes internt i virksomheden. Dette kan eksempelvis gøres ved at implementere "Single sign on". Det betyder, at alle virksomhedens interne programmer bruger samme password. Når man skifter ét password, vil alle andre automatisk skifte samtidig. Det skal understreges, at ikke alle programmer understøtter denne funktionalitet.

Sikkerhedskriterier

Sikkerheden i passwords er betinget af fire forskellige kriterier. I password'et skal således anvendes:

  • Mere end 8 karakterer
  • Store og små bogstaver
  • Tal
  • Specialtegn

Et password kan betragtes som "sikkert", hvis det opfylde mindst tre af de fire kriterier.

Det betyder, at et password eksempelvis kunne være "Sed1lk+K. Dette password opfylder alle kriterier. Det er længere end 8 karakterer og indeholder STORE og små bogstaver, tal (1) og specialtegn ("+").

Når man skal udtænke passwords, kan det være vanskeligt at finde et password, der er tilstrækkeligt kompliceret og samtidig til at huske. Der eksisterer i den forbindelse forskellige metoder til at lave passwords, der er nemme at huske.

Password'et i eksemplet ovenfor er lavet ud fra børnesangen "Se den lille kattekilling". Password'et minder lidt om en rebus, og kan læses således:

Se = Se

Den = d1

Lille = l

Kattekilling = k+K (det er en stor killing)

Samlet: "Sed1lk+K".

Passwords kan sammensættes på mange måder, men der er helt givet fremgangsmåder, man skal holde sig fra. Man skal som hovedregel ikke bruge telefonnumre, familienavne eller -fødselsdage, husnumre eller andre let tilgængelige oplysninger. Såfremt en hacker vil forsøge at få adgang til data, er det sådanne passwords, der afprøves først.

Der er god grund til også med passende intervaller at udskifte et "godt" password.

Jo længere tid et password eksisterer, jo mere sandsynligt bliver det, at der er nogen, der kommer til at kende det. IT-sikkerhed i almindelighed er baseret på det faktum, at intet i virkeligheden kan gøres 100% sikkert. Sikkerhed baseres i realiteten på, hvor længe det vil tage at skaffe sig uberettiget adgang.

De fleste informationer har en begrænset levetid og et begrænset tidsrum, hvor de reelt kan bruges til noget. Når det gælder sikkerhed er målet, at det skal være så besværligt og langsommeligt at bryde passwords, at de data man forsøger at få fat i, er forældede, inden man når dem.

Det er anbefalelsesværdigt at skifte password hver tredje måned, eller - hvis man er sikker på, at man ikke har følsomme oplysninger - hvert halve år.

Det tilrådes, at ledelsen i virksomheden drøfter denne problemstilling med virksomhedens IT-afdeling og/eller virksomhedens eksterne IT-rådgiver.