Er lykilorðið þitt "Sumar2024!"?
Í dag hefur orðið sífellt algengara að fyrirtæki innleiði lykilorðareglur sem krefjast flókinna samsetninga. Starfsfólk er oft neytt til að velja lykilorð sem innihalda ákveðna lágmarkslengd, blöndu af tölustöfum, hástöfum, lágstöfum og sértáknum. Það er einnig algengt að fyrirtæki krefjist þess að starfsfólk skipti um lykilorð reglulega, oft á 3 mánaða fresti. Þótt þessi aðferð sé vel meint, getur hún haft óvæntar afleiðingar.
Þvingun í lykilorðaskiptum getur haft öfug áhrif
Rannsóknir hafa sýnt að þegar notendur eru neyddir til að skipta um lykilorð reglulega, hafa þeir tilhneigingu til að velja fyrirsjáanleg mynstur. Slíkt mynstur getur oft verið árstíð, ár eða önnur auðþekkjanleg uppbygging, eins og „Sumar2024!“. Þetta gerir notendur viðkvæmari fyrir svokölluðum „lykilorðasprettárásum“ (password spray attack).
Rannsóknir hafa leitt í ljós að þegar notendur vita að þeir verða að breyta lykilorði sínu reglulega, þróa þeir oft með sér venjur sem veikja öryggi. Til dæmis velja margir einfaldari lykilorð til að auðvelda sér að muna þau, eða þeir breyta aðeins einu eða tveimur stöfum í fyrra lykilorði, sem gerir þau auðveldlega fyrirsjáanleg. Þessi hegðun eykur hættuna á að tölvuþrjótar geti giskað á lykilorðið og náð aðgangi að kerfum fyrirtækisins.
Hvað er "password spray attack"?
Lykilorðasprettárás felur í sér að tölvuþrjótar reyna að komast inn í netkerfi fyrirtækja með því að prófa einföld og algeng lykilorð, eins og „Sumar2024!“ eða „Vetur2023#“, á fjölda netfanga samtímis. Þeir nota oft lista yfir starfsfólk eða notendur og reyna að komast yfir reikninga þeirra með þessum einföldu og fyrirsjáanlegu lykilorðum. Þetta hefur leitt til þess að margir reikningar hafa orðið fyrir árásum og mikilvæg gögn hafa verið misnotuð.
Hvað er hægt að gera til að bæta öryggið?
Fyrirtæki sem setja reglur um reglulega lykilorðaskipti þurfa að huga að afleiðingunum af slíkri stefnu. Rannsóknir hafa bent á að reglulegar lykilorðaskipti geti í raun haft neikvæð áhrif á öryggi ef ekki er rétt staðið að málum. Microsoft mælir með því að forðast regluleg lykilorðaskipti nema sérstök ástæða sé til þess, þar sem slíkar kröfur geta leitt til þess að notendur velji veikari lykilorð eða noti fyrirsjáanleg mynstur.
Önnur lausn er að fræða notendur um að velja lengri og sterkari lykilorð. Lykilorð þurfa ekki að vera stutt og flókin til að vera örugg. Þvert á móti geta lengri lykilorð, sérstaklega þau sem eru byggð á setningum (password phrases), verið bæði örugg og auðveld í notkun. Lykilorðasetningar samanstanda af mörgum orðum sem mynda merkingarbæra setningu, sem er auðveld að muna og skrifa, en samt mjög erfitt fyrir tölvuþrjóta að giska á. Sem dæmi gæti lykilorðasetan „EgAttiDodge-Mirada80Model“ verið 25 stafir að lengd, auðvelt að muna og rita en mjög erfitt fyrir tölvuþrjóta að giska á.
Aukin notkun á lykilorðastjórum
Önnur tækni sem getur aukið öryggi er notkun á lykilorðastjórum (password managers). Lykilorðastjórar geyma öll lykilorð notenda á öruggan hátt og gera þeim kleift að nota einstök, sterk lykilorð fyrir hvern reikning. Þetta kemur í veg fyrir endurnotkun á lykilorðum og bætir þannig verulega öryggið.
Tilvitnanir
- Password guidelines for administrators - Microsoft
- Time to rethink mandatory password change - Federal Trade Commission