Har vi endelig knekt koden for passordsikkerhet?
En nylig oppdatering av beste fremgangsmåter for passord fra National Institute of Standards and Technology avslørte at lengre påloggingsopplysninger faktisk øker kontosikkerheten mer enn kortere, mer komplekse – men det er ikke alt det skal være.
Historisk sett har nettsteder krevd kompliserte passord med en blanding av alfanumeriske tegn og symboler.
Likevel fant NIST at «fordelen med slike regler er mindre betydelig enn først antatt» og legger en «alvorlig» belastning på brukernes hukommelse.
«Mennesker har en begrenset evne til å huske komplekse, vilkårlige hemmeligheter, så de velger ofte passord som lett kan gjettes,» skrev NIST i rapporten, og la til at «netttjenester har innført regler for å øke kompleksiteten til disse passord.»
Disse reglene kan frustrere brukere, og som et resultat av dette «omgår de ofte disse begrensningene kontraproduktivt» ved å bruke lett gjettede passord som kan gjøre dem sårbare for hacks.
I stedet for å få brukere til å huske et virvar av bokstaver, tall og symboler, er lengden, sa organisasjonen, «en primær faktor for å karakterisere passordstyrken.»
Ifølge byrået gir 64-tegns passord maksimal kontosikkerhet, med åtte tegn som minimum.
I tillegg frarådet NIST vilkårlige passordendringer, og sa at passord kan forbli uendret med mindre det er bevis på et sikkerhetsbrudd.
Organisasjonen oppfordret også brukere til å bruke en passordbehandler og implementere tofaktorautentisering når det er mulig, ettersom sterke passord ikke er nok til å hindre ondsinnede angripere.
«Mange angrep assosiert med passordbruk påvirkes ikke av passordkompleksitet og lengde,» skrev NIST.
«Tastetrykklogging, phishing og sosial ingeniørangrep er like effektive på lange og komplekse passord som de er på enkle.»
