Alle de mange anstrengelser for at forbedre it-sikkerheden ved at øge kompleksiteten i passwords virker ikke efter hensigten.
Det fremgår af en amerikansk undersøgelse, der er foretaget af analysefirmaerne Nucleus Research og KnowlegeStorm.
Som et led i at øge it-sikkerheden har mange virksomheder blandt andet valgt at øge frekvensen for, hvor ofte passwords skal ændres, hvor mange tegn, der skal være i et password og hvor komplekse de skal være, i form af tal og bogstaver. Undersøgelsen viser imidlertid, at disse foranstaltninger ingen indvirkning har på it-sikkerheden.
Skriver passwords ned
Årsagen er, at en ud af tre medarbejdere stadig har en tendens til at skrive små noter eller simple tekst-dokumenter på pc’en eller for eksempel lommecomputeren, hvor medarbejderens passwords listes.
- Det er næsten som mor eller far, der investerer i et superavanceret nyt sikkerhedssystem til huset, hvorefter sønnike lægger kombinationen til systemet under dørmåtten, siger David O’Connell, som er senioranalytiker hos Nucleus Research.
Undersøgelsen, der kiggede på 325 medarbejdere i USA, fremfører, at det er mindst lige så sikkert at operere med et system, hvor én adgangskode giver adgang til alt (single sign-on), som en mere kompleks løsning med flere koder.
Ændrer ikke adfærd
Samtidig viser undersøgelsen, at øget fokus på vigtigheden af at håndtere passwords sikkert, ikke har haft reel indflydelse på medarbejdernes afslappede password-adfærd.
- Passwords er krævende. Folk glemmer dem eller mister dem, hvorpå de skal genskabes eller erstattes. Genfremsendelse af passwords tager tid og koster penge i virksomhedens it-afdeling, mener David O’Connell.
Undersøgelsen anbefaler, at virksomheder i stedet bruger ressourcerne på biometrisk sikkerhed, så som stemme- eller fingeraftryksgenkendelse, eller cognitive sikkerhedsløsninger, hvor systemet lærer dine karakteristika at kende gennem din adfærd – eksempelvis kombineret med din besvarelse af en række foruddefinerede spørgsmål.
- Det er denne type avancerede teknologier, som virksomheder bliver nødt til at skifte til i stedet for passwords, fastslår David O’Connell.