I dag fikk vi et av de “vanlige” spørsmålene til Feide. Lettere omskrevet kan det summeres opp i “Hvor ofte må passord byttes?”
Hva skal en svare på dette? Det mest riktige og definitivt minst hjelpsomme svaret vil være “Det kommer an på”. Litt bedre er “Så ofte tjenesten trenger det for å tilfredstille sikkerhetsbehovet, og så sjelden at brukeren ikke begynner å skrive ned passordet eller lager gjennomskuelige passordmønstre ved påtvunget skifte.”
Professor Eugene Spafford ved Center for Education and Research in Information Assurance and Security (CERIAS) skrev for noen år siden et par blogginnlegg som fremdeles er veldig interessante i denne sammenhengen. Begge innleggene bør leses i sin helhet, men under gjengir jeg noen oppsummeringer og et par egne tanker.
In summary, forcing periodic password changes given today’s resources is unlikely to significantly reduce the overall threat—unless the password is immediately changed after each use. This is precisely the nature of one-time passwords or tokens, and these are clearly the better method to use for authentication, although they do introduce additional cost and, in some cases, increase the chance of certain forms of lost “password.” – Security Myths and Passwords, Dr. Eugene Spafford
Så om risikonivået er tilstrekkelig høyt vil påkrevd passordskrifte av statiske passord aldri kunne tilfredsstille det nødvendige sikkerhetsnivået. Da må ytteligere tiltak som for eksempel tonivå-autentisering til. Som en sidenote er det også veldig interessant hvordan en “beste praksis” fra tiden før utbredt bruk av nettverk og sammenkoblede systemer fremdeles henger igjen i policyer og sedvane.
Basically, I would suggest you start with an assumption that passwords should be changed every quarter. If the passwords are used over a lightly protected communications link, then change them more often. If someone could break the password and use the account without being noticed, then further accelerate the change interval. If users get guidance on strong password selection, and are motivated to help ensure good security, then maybe you can extend the time period. In many cases, without due care, you realize that any reuse of passwords is risky. Instead of dismissing that and imposing monthly password changes, use that knowledge to address the underlying problems. – Passwords and Myth, Dr. Eugene Spafford
Her var det jo noen klare anbefalinger: Tre måneder som utgangspunkt, men må reduseres om tjenestene er designet “dårlig”. Øk lengden (betraktelig?) om du har sikkerhetsbevisste brukere og passord som ikke uten videre kan gjettes.
Kanskje burde ikke fagsystemer lenger kreve stadige passordendringer, men heller at brukerne får tilstrekkelig bevisstgjøring og opplæring i bruk av passord.
Men er disse tallene (fra 2-3 måneder til kanskje 6-9-12 måneder) brukbare for vår sektor? Hvor ofte klarer en elev eller lærer å bytte passord og fremdeles unngå å skrive dem ned? Jeg forutsetter vel her at skoleeieren har et fungerende IdM/IAM-system som reduserer antall passord hver bruker må huske og fjerner rettigheter fra tjenester når brukere ikke lenger skal ha dem.