mboost-dp1

Kaspersky

Danskere dårligst til at skifte adgangskoder

-

Adgangskoder er som underbukser – det er titlen på en kampagne fra det russiske sikkerhedsfirma Kaspersky. Tanken bag titlen er, at man skal huske at skifte både undertøj og adgangskoder ofte.

Kaspersky har spurgt brugere i otte europæiske lande til deres vaner omkring adgangskoder til e-mailkonti og andre onlinetjenester.

Her lander danskerne på sidstepladsen i forhold til, hvor ofte adgangskoderne bliver skiftet.

57 procent af de adspurgte danskere skifter adgangskoderne til deres værdifulde onlineidentiteter to gange om året eller sjældnere.

12 procent af de adspurgte svarer, de aldrig skifter deres adgangskoder.

Se flere af svarene i Kasperskys rapport (pdf)





Gå til bund
Gravatar #1 - lsv20
16. dec. 2015 20:24
Man behøver vel heller ikke at skifte en adgangskode når
1: Man har two-factor auth på kontoen
2: Man har logning på hvilke enheder der er logget på
Gravatar #2 - arne_v
16. dec. 2015 21:20
#0

Jeg køber slet ikke præmissen om at:

hyppige password skift => højere sikkerhed

Naturligvis skal der skiftes password hvis man har mistanke om at nogen har afluret det.

Men gennemtvinge hyppige skift via policy resulterer i at folk enten bruger systematisk passwords eller skriver passwords ned, hvilket resulterer i lavere sikkerhed.

Og der er faktisk efterhånden nogle få i sikkerhedsbranchen som har opdaget det.

https://www.gov.uk/government/uploads/system/uploa...


Regular password changing harms rather than improves security, so avoid placing this burden on users. However, users must change their passwords on indication or suspicion of compromise.

Gravatar #3 - kasperd
16. dec. 2015 21:33
arne_v (2) skrev:
Men gennemtvinge hyppige skift via policy resulterer i at folk enten bruger systematisk passwords eller skriver passwords ned, hvilket resulterer i lavere sikkerhed.
Jeg tænker at hvor lang tid en bruger får lov at bruge et password bør være en funktion af hvor stærkt et password brugeren vælger.

Hvis man kan få en bruger til at vælge et password med 20 bits entropi mere ved at give dem lov til at bruge samme password i 10 år, så er det nok bedre for sikkerheden.
Gravatar #4 - Athinira
17. dec. 2015 01:06
kasperd (3) skrev:
Jeg tænker at hvor lang tid en bruger får lov at bruge et password bør være en funktion af hvor stærkt et password brugeren vælger.

Hvis man kan få en bruger til at vælge et password med 20 bits entropi mere ved at give dem lov til at bruge samme password i 10 år, så er det nok bedre for sikkerheden.


Det er en dårlig sammenkædning efter min mening. En afluret adgangskode er en afluret adgangskode, uanset entropi. Hvis din adgangskode er blevet afluret af en keylogger eller et MITM-angreb så er kodens entropi underordnet.

Næste problem er at det er ret svært for computere at bestemme om et PW har høj entropi eller ej. Et password kan sagtens indeholde både store og små bogstaver, tegn og tal, og stadigvæk være relativt let at aflure, bruteforce - eller i visse tilfælde gætte - især hvis det indeholder informationer om personen eller personens familie (fødselsdagsdatoer, telefonnumre, efternavne, navne på kæledyr, adresse) som man ikke let kan kontrollere op imod en ordbog.

Hvis man tænker lidt over det, så er det faktisk de passwords der har den højeste entropi som kan tåle at blive skiftet oftest, da de sandsynligvis betyder at der bruges en passwordatabase af en art, og at begrænsninger på den menneskelige hukommelse eller systematiske passwords derfor ikke er et problem :-)
Gravatar #5 - Athinira
17. dec. 2015 01:24
Hvis jeg skulle give mit forslag, så skulle en evt. passwordpolitik afhænge af hvor ofte en bruger benytter en given tjeneste, samt hvor mange forskellige enheder brugeren logger ind fra. I min verden giver det ringe mening - hvis man absolut ønsker at bruge det - at fastsætte tvungne adgangskodeændringer baseret på tidsintervaller.

Hvis en tjeneste benyttes meget ofte må det antages at,
(1) tjenesten har en relativt høj værdi for brugeren.
(2) at antallet af muligheder for at koden kan blive afluret er højere end normalt, både i form af flere logins, men også i form af at der måske logges ind fra flere steder og/eller enheder (hvilket udgør en øget risiko)
(3) at brugeren benytter sin adgangskode ofte, og derfor vil have nemmere ved at huske en ny grundet konstante logins.

Hvis en bruger derimod bruger en tjeneste meget sjældent har tjenesten sandsynligvis lav værdi, samt at chancen for at brugeren glemmer koden - og til tider også brugernavnet - er højere. Der giver det kun mere besvær end sikkerhed at tvinge adgangskodeændringer ned over brugeren, hvis denne måske kun har logget ind på tjenesten en til to gange i sit liv, også selvom kontoen er flere år gammel.
Gravatar #6 - arne_v
17. dec. 2015 03:14
Athinira (5) skrev:

Hvis en tjeneste benyttes meget ofte må det antages at,
(1) tjenesten har en relativt høj værdi
...
Hvis en bruger derimod bruger en tjeneste meget sjældent har tjenesten sandsynligvis lav værdi,


Det er jeg ikke overbevist om er generelt.

Rigtigt mange (formentligt de fleste) bruger diverse "for sjov" tjenester såsom web-mail, diskussion-fora etc. langt hyppigere end de bruger kritiske tjenester som bank, e-commerce web-sites etc..
Gravatar #7 - Athinira
18. dec. 2015 06:44
arne_v (6) skrev:
Det er jeg ikke overbevist om er generelt.

Rigtigt mange (formentligt de fleste) bruger diverse "for sjov" tjenester såsom web-mail, diskussion-fora etc. langt hyppigere end de bruger kritiske tjenester som bank, e-commerce web-sites etc..


Kan se jeg skulle have været en anelse mere specifik her: det vigtigste er naturligvis ikke hvor ofte en bruger benytter en given tjeneste, men hvor ofte brugeren logger ind på en given tjeneste.

De vigtigste tjenester kræver konstante logins (jeg kan fx ikke bede min netbank lade mig forblive logget ind), hvorimod tjenester som Facebook har det helt fint med at lade dig logge ind og så lade dig forblive værende logget ind (fx på din mobil eller din hjemmecomputer). Jeg har fx oplevet masser af mennesker som ikke kan huske deres Facebook-kode fordi de altid er logget ind, og derfor ikke har behov for at bruge koden særligt tit.
Gravatar #8 - MrAmazing
18. dec. 2015 07:46
Er jeg den eneste som er bekymret over at 16% af de adspurgte danskere ikke skifter underbukser hver dag?
Gravatar #9 - CBM
18. dec. 2015 09:34
#8: kunne være interesseret at se hvor stor sammenfald der er mellem dem der ikke skifter undertøj og dem der aldrig skifter adgangskode :)
Gravatar #10 - naggert
18. dec. 2015 12:54
http://vignette4.wikia.nocookie.net/southpark/images/0/05/Griefer.png/revision/latest?cb=20120211222858
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login