Sandheden om at tåbelige passwords med mange tegn og tal er specielt sikre bliver fortsat båret rundt og svækker i...

Sandheden om at tåbelige passwords med mange tegn og tal er specielt sikre bliver fortsat båret rundt og svækker i praksis sikkerheden. Der er 15 år siden idéen kom frem og den lever desværre stadig. STOP NU! Der er faktisk bedre valg i dag og skal man bruge passwords, så er længere bedre uanset hvor enkle de er - bare de ikke findes i ordbøger...
https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118

Kommentarer

Tais P. Hansen sagde…
Der er intet galt med hans råd, men som med alle sikkerheds løsninger, som er besværlige i dagligt brug, laver brugerne genveje og derved reducerer sikkerheden.

F.eks. NemID og mobilfoto af nøglekort, passwords skrevet på Post-its osv.

Det er også en noget naiv indstilling at man "bare skal undgå ord i en ordbog". Ordlister i gigabyte-størrelsen til brute-force angreb på stjålne hashes bliver distribueret i stort omfang på nettet, og de indeholder langt mere end almindelige ord.

Efter min mening er det eneste der kan give høj sikkerhed uden at brugerne kan modarbejde det, en 2FA løsning med en hardware nøgle der understøtter U2F, så som Yubikey, som virker til alle devices med en USB port eller NFC.
Tais P. Hansen ordbøger skal ses bredt og dertil at jeg også lister med passwords da de er hurtige at løbe igennem. Bruger du et password med en længde på fx 16 eller 20 tegn sat sammen af almindelige (tilfældige) ord, så har du et stærkt password når bare det samlede ord ikke er i en liste.

Populære opslag fra denne blog