Misforstået sikkerhed

Man bliver helt træt, når man læser, de fjollerier, som nogle sikkerhedschefer i danske pengeinstitutter finder på at melde ud, og man får næsten trang til at sende dem en t-shirt (Nykredit blå naturligvis), som belønning for dages citat på ComOn.dk.

Udtalelsen, der giver basis for præmien er følgende:

“Dybest set giver det ikke mere sikkerhed at anvende specialtegn. …” siger sikkerhedschef Niels O. Rasmussen hos Nykredit. (comon.dk)

Et kodeord med med bogstaver og tal har en væsenligt ringere entropi end et med specialtegn, og derfor vil det dybest set være væsenligt mere sikkert. Han anfører i øvrigt også, at muligheden for at kunne bruge special tegn er med til at sikre, at folk ikke skriver passwordet ned, og at der spærres for kontoen efter 3 forkerte forsøg.

Givet de IT-brugere jeg ofte færdes omkring, så er jeg ret sikker på, at en adgang, som vil medføre væsentlige gener, hvis den blev spærret efter 3 forsøg, er helt sikkert skrevet ned 3-4 steder - bare for at være sikker på, at man ikke får spærret adgangen. Naturligvis er Nykredits kunder på det punkt sikkert helt anderledes.

Hvis Nykredit (og andre) tillader en vilkårlig længde password, så behøver man i øvrigt ikke specialtegnene for at gøre det sikkert. Man kan også gennem dem i en password høstak. Hvis du ikke har mod på at følge linket (eller se en video om hvad det er), så går det blot ud på at man sætter en stribe tegn foran (og/eller efter sit password), og på den måde kan gøre sit kodeord væsenligt mere sikkert.

comments powered by Disqus