STOP med at skifte password hver 3. måned.

Reglen har altid været, skift password hver 3 måned. De fleste IT sikkerhedspolitikker indeholder som standard denne passus. Og de fleste IT sikkerhedsfolk har sagt, at det bør man gøre.

Når man installerede en standard Windows AD server, var det også default setting, at brugerne fik besked 14 dage før de skulle skifte deres password. Ellers ville det udløbe, og de skulle så anmode om et nyt.

Mange af de sikkerhedspolitikker og andre dokumenter jeg har læst i forbindelse med GDPR, har alle indeholdt denne passus med skift af password hver 60 eller 90 dage

Giver det bedre sikkerhed?

Det har jeg aldrig troet på. De fleste kræver jo et password af f.eks. en længde på 12 karakterer, indeholdende store og små bogstaver samt mindst et symbol og et tal.

Det mest almindelige er, at det eneste brugeren ændrer hver 3 måned, er tallet…. for ellers kan brugeren ikke huske passwordet.

Så skift af password hver 3 måned betyder ikke nyt password. Blot at man tager det næste tal i listen. Så det er der ikke meget sikkerhed i.

Eksperterne har også skiftet mening.

Microsoft har i en blogpost d. 24 april 2019 som omhandler Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903, hvori de skriver:

We are talking here only about removing password-expiration policies – we are not proposing changing requirements for minimum password length, history, or complexity.

Gode råd til at hjælpe brugerne til sikre password

Udfordringen er stadig, at brugere genbruger deres password til forskellige services.

Så derfor :

  1. Invester i en password manager som 1Password til alle brugere, så brugerne kun skal huske 1 Password.
  2. Password manageren vil brugeren også kunne bruge privat
  3. Password manageren sikrer, at brugerne får hjælp til at generere og gemme forskellige passwords, så de aldrig genbruger et password.