Vi bruger alle stadig adgangskoder på mange, måske de fleste, af vores konti, fordi vi alle stadig bruger masser af onlinetjenester, der ikke tilbyder nogen anden form for login-system.
Netop i dag betalte jeg for eksempel medlemskontingenter til en cykelrelateret gruppe, der bad om min postadresse, så den kunne sende mig mit medlemskort, hvilket jeg syntes var en dejlig enkel og gammeldags måde at lade mig få mit medlemsnummer på. i fremtiden, mens du er på farten.
I den slags kolde og våde vejr du har det meste af året i England, graver en mobiltelefon frem, venter på et signal, tager handskerne af (de er ikke sjove at tage på igen, når du er vinter- vandtæt), og roder rundt med apps, websteder, adgangskoder, 2FA-koder og mere...
…jamen, det er bare ikke så nemt som at finde et vandtæt, stødsikkert plastikkort uden batterier med dine grundlæggende detaljer på.
Men sammen med min betalingsbekræftelse, der informerede mig om, at mit medlemskort var på vej, var det en påmindelse om, at hvis jeg nogensinde ville forny mit medlemskab, eller at anmode om et erstatningsvandtæt, stødsikkert, ikke-batterier-krævet, plastikkort (desværre er de ikke tabssikre), jeg bliver nødt til at oprette en konto på gruppens hjemmeside, så hvorfor ikke vælge en adgangskode lige nu?
Kort sagt, for at undgå behovet for en adgangskode i første omgang, ville jeg være nødt til at oprette en i anden omgang.
Og når der kommer adgangskoder op, dukker der også et langvarigt spørgsmål op:
Skal du ændre alle dine adgangskoder hele tiden for at gøre dem til hurtige mål for cyberkriminelle, eller låse virkelig komplekse adgangskoder ind til at starte med, og så lade være i fred?
Det var faktisk det problem, som en langsigtet Naked Security-læser stod over for i morges, hvis eget IT-team stod på hornene i netop dette dilemma, muligvis på grund af en næsten-ulykke med cybersikkerhed, som de lige havde oplevet første hånd.
Hvilken er bedre?
Komplekse adgangskoder eller adgangssætninger, der måske ikke bliver ændret ofte, eller dårligt valgte adgangskoder, der ændres regelmæssigt?
Tanker og tanker
Vores tanker om sagen er som følger:
- Ændring af adgangskoder regelmæssigt er ikke et alternativ til at vælge og bruge stærke. Hvis du vil ændre din adgangskode hver måned, er det dit valg, men det er ikke en undskyldning for at starte med din kats navn og bruge mindre varianter af det med få ugers mellemrum.
- At tvinge folk til at ændre deres adgangskoder rutinemæssigt kan indvagte dem til dårlige vaner. Mange brugere bruger ganske enkelt en forudsigelig mekanisme, såsom at tilføje -01, -02, -03 og så videre for at opfylde bogstavet (men ikke ånden) i dine regler for udskiftning af adgangskode. Angribere kan finde ud af den slags adfærd.
- Planlægning af adgangskodeændringer kan forsinke nødreaktioner. Hvis du altid ændrer din adgangskode med et par ugers mellemrum, er der mindre incitament til at ændre det med det samme, hvis du tror, du måske er blevet phished. Når alt kommer til alt, vil du alligevel ændre det "snart".
Regelmæssig ændring af din adgangskode gør den ikke på magisk vis til en bedre adgangskode.
Kun at vælge et bedre kodeord i første omgang gør det til et bedre kodeord! (Det er her adgangskode ledere kan hjælpe.)
Med andre ord foreslår vi, at du først tager fat på problemet med at hjælpe dine brugere med at vælge anstændige adgangskoder, og derefter opfordrer dem til at genkende tilfælde, hvor de skal ændre deres adgangskoder med det samme, uden at have brug for en tidsplan for at fortælle dem at gøre det...
...og først da bør du bekymre dig om, hvorvidt du virkelig også har brug for en "regelmæssige ændringer uanset" adgangskodepolitik.
Risikoen ved udenadsadfærd
At kræve adgangskodeskift hver måned, når du simpelthen ikke behøver det, er bare at invitere folk til at gemme deres nye adgangskoder på en usikker måde, eller til at vælge nye adgangskoder sjusket, eller til at rotere gennem en gentagende sekvens af N relaterede adgangskoder, eller kun at opdatere deres adgangskoder. hver 30. dag, selv i nødstilfælde.
Når det er sagt, er det en god idé at låse brugere ude, som ikke har tilgået bestemte virksomhedskonti i et vist tidsrum. (Dette beskytter også beskedent mod glemte konti, fordi de til sidst udløber automatisk.)
At låse brugere ude for inaktivitet er mere påtrængende end blot at tvinge dem til at nulstille deres adgangskoder regelmæssigt, og derfor upopulært.
Men hvis nogen har et firmakontologin, som de ikke bruger, hvorfor så ikke presse dem til personligt at begrunde, hvorfor de stadig har brug for det, efter at de ikke har brugt det i f.eks. seks måneder eller et år?
Når alt kommer til alt, hvis det er et login til et produkt eller en tjeneste, der opkræver et gebyr pr. bruger... kan du endda spare omkostningerne ved deres abonnement.
Og hvis de virkelig ikke har brug for kontoen mere, hjælper du dem med at holde sig ude af problemer ved at forhindre slyngler og cyberskurke i at gøre dårlige ting i deres navn.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- EVM Finans. Unified Interface for Decentralized Finance. Adgang her.
- Quantum Media Group. IR/PR forstærket. Adgang her.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/06/09/thoughts-on-scheduled-password-changes-dont-call-them-rotations/
- :har
- :er
- :ikke
- :hvor
- $OP
- 1
- 15 %
- 25
- 2FA
- 30
- a
- I stand
- Om
- absolutte
- af udleverede
- Konto
- Konti
- tilføje
- adresse
- vedtage
- Efter
- mod
- Alle
- alene
- sammen
- også
- alternativ
- altid
- an
- ,
- enhver
- apps
- ER
- omkring
- AS
- forfatter
- auto
- automatisk
- undgå
- væk
- tilbage
- background-billede
- Bad
- grundlæggende
- BE
- fordi
- været
- Bedre
- grænse
- Bund
- men
- by
- ringe
- CAN
- kort
- tilfælde
- center
- vis
- lave om
- ændret
- Ændringer
- skiftende
- afgifter
- valg
- Vælg
- vælge
- koder
- forkølelse
- farve
- Kom
- kommer
- selskab
- komplekse
- bekræftelse
- Koste
- kunne
- dæksel
- skabe
- cyberkriminelle
- Dage
- forsinkelse
- detaljer
- Skærm
- do
- Er ikke
- gør
- Dont
- let
- nødsituation
- tilskynde
- England
- Endog
- til sidst
- NOGENSINDE
- Hver
- erfarne
- vender
- hurtigt bevægende
- Gebyrer
- få
- Figur
- finde
- Fornavn
- første hånd
- følger
- Til
- fra
- sjovt
- fremtiden
- få
- godt
- gruppe
- hånd
- Have
- højde
- hjælpe
- hjælpe
- hover
- HTTPS
- i
- idé
- if
- in
- Tilskyndelse
- instans
- ind
- indbydende
- spørgsmål
- IT
- ITS
- lige
- Forlade
- til venstre
- mindre
- brev
- udlejning
- Logge på
- langsigtet
- lave
- maerker
- mange
- Margin
- Matter
- max-bredde
- Kan..
- mekanisme
- medlemskab
- måske
- mindre
- Mobil
- mobiltelefon
- Måned
- måned
- mere
- Morgen
- mest
- meget
- my
- Naked Security
- navn
- Behov
- behøve
- Ny
- normal
- nu
- nummer
- of
- off
- tilbyde
- tit
- on
- ONE
- dem
- online
- kun
- or
- Andet
- vores
- ud
- egen
- betalt
- Adgangskode
- Nulstilling/ændring af adgangskoder
- paul
- betaling
- Mennesker
- måske
- person,
- telefon
- Place
- plast
- plato
- Platon Data Intelligence
- PlatoData
- Masser
- politik
- position
- eventuelt
- post-
- Indlæg
- Forudsigelig
- forebyggelse
- Problem
- Produkt
- Skub ud
- sætte
- spørgsmål
- Læser
- virkelig
- genkende
- regelmæssigt
- relaterede
- relative
- udskiftning
- anmode
- reaktioner
- højre
- risici
- vej
- rutinemæssigt
- regler
- Said
- Gem
- siger
- planlagt
- Anden
- sikkerhed
- send
- Sequence
- tjeneste
- Tjenester
- bør
- Signal
- Simpelt
- ganske enkelt
- SIX
- Seks måneder
- So
- solid
- Nogen
- specifikke
- ånd
- starte
- Starter
- forblive
- Stadig
- stærk
- abonnement
- sådan
- tyder
- SVG
- systemet
- tager
- mål
- hold
- fortælle
- end
- at
- deres
- Them
- derefter
- derfor
- de
- ting
- tror
- denne
- tænkte
- Gennem
- tid
- tidsplan
- til
- i dag
- også
- top
- overgang
- gennemsigtig
- problemer
- opdatering
- URL
- anvendte
- brugere
- ved brug af
- meget
- Venter
- ønsker
- ønskede
- var
- Vej..
- we
- Vejr
- Hjemmeside
- websites
- uger
- GODT
- var
- hvornår
- når
- hvorvidt
- som
- mens
- WHO
- hvis
- hvorfor
- bredde
- med
- uden
- ord
- bekymre sig
- år
- Du
- Din
- zephyrnet