NIST: Vi tok feil, ikke bytt passord!
NIST gir beslutningsstøtte og faglig alibi til en hel verden. Derfor er ‘full revers’ om passord og sikkerhet relevant. “Gammelt er OK, langt er flott” sier NIST.
Alle kan ta feil – og gjør det jevnlig, men innrømmer det sjelden. Faren for å tape ansikt og tillit er for stor. Tror vi. Men reaksjonen er ofte den motsatte. Ærlighet skaper tillit.
Knapt noe sted i verden sitter innrømmelser lenger inne enn i Norge og Norden – et tema vi hadde fremme i forbindelse med etableringen av Institute of Brilliant Failures i fjor . Andre steder i verden er holdningen annerledes, ikke minst i USA. «Norway and Sweden are not culturally very overseeing with mistakes like the Americans are» sa professor Leiv Edvinsson til InnovasjonsMagasinet 2016.
Derfor var innrømmelsen fra amerikanske NIST (National Institute of Standards and Technology) nylig, ingen bombe: «Våre velmente råd om passordbruk fra 2003 var dårlige, og bidro ikke til bedre sikkerhet, tvert imot» sier Bill Burr, som forfattet 2003-versjonen av NIST-anbefalingen (se artikkel i Wall Street Journal). Spesialistene i SANS Institute applauderer, og påpeker at hyppige passord-bytter var kjent som ineffektivt og negativt allerede på 90-tallet.
Så får historie være historie, mens vi fokuserer på de nye rådene: Lange passord, gjerne hele setninger som er lette å huske. Det er viktigere at de huskes, enn at blandingen av bokstaver, tall og tegn er ‘kreativ’. Og videre – ikke bytt passord uten at det er mistanke om kompromittering!
Dessuten – og like viktig: Det nye dokumentet diskuterer og anbefaler bruk av moderne passord-managers, som vi diskuterte i ‘Passord forever’ nylig: “Verifiers SHOULD permit claimants to use “paste” functionality when entering a memorized secret. This facilitates the use of password managers, which are widely used and in many cases increase the likelihood that users will choose stronger memorized secrets.”
Gledelig, grundig og nyttig fra NIST – for aktive sikkerhetsansvarlige.
Les også…
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.