Nästa gång du har tvingats återställa ett lösenord efter den femtonde felaktiga gissningen, knyt näven och ropa namnet Bill Burr. Mannen som bokstavligen skrev boken om lösenord har erkänt att han inte riktigt visste vad han gjorde vid den tiden.
Burr, en tidigare chef vid National Institute of Standards and Technology (NIST), var ansvarig för att sammanställa en uppsättning rekommendationer och standarder för att skapa säkra lösenord 2003. ”NIST Special Publication 800-63. Appendix A” finns förmodligen inte på ditt nattduksbord, men om du någonsin blivit ombedd att skapa sexsiffriga lösenord med slumpmässiga siffror och versaler, har du känt dess effekt.
Dokumentets råd, att lösenord bör bestå av oregelbundna versaler, siffror och specialtecken, anammades allmänt av allt från banker till statliga organ. Det rekommenderas också att användare bör ändra sina lösenord minst var 90:e dag. Problemet är att båda dessa råd är dåliga och leder till lösenord som är lätta att knäcka.
”Mycket av det jag gjorde ångrar jag nu,” berättade Burr Wall Street Journal i en intervju. Det visar sig att det mesta av vad Burr rekommenderade härrör från en vitbok skriven på 1980-talet, innan webben skapades. ”I slutet, [the collection of guidelines] var förmodligen för komplicerat för många att förstå mycket väl, och sanningen är att det skällde upp i fel träd.”
Problemet med att skapa lösenord som backas upp med symboler och siffror är att, även om något som ”Tr0ub4dor&3” kan se trubbigt nog ut för att inte kunna gissas, är verkligheten att det kommer att följa förutsägbara mönster av nummer och symbolplacering. Illustrerad av en välkänd XKCD komiska, skulle exemplet ovan bara ta en dator tre dagar att knäcka, medan en fras gjord av slumpmässiga ord, som ”korrekt hästbatterihäftklammer”, skulle ta 550 år. Enligt WSJ, denna beräkning kontrolleras med säkerhetsexperter.
(Kredit: XKCD)
Att regelbundet byta lösenord har också ett grundläggande problem, eftersom människor tenderar att bara lägga till mindre tillägg till sitt gamla lösenord. Plonar en ”1” eller en ”!” i slutet av en lösenordsfras finns också ett förutsägbart beteende och, du gissade rätt, leder till svaga koder som lätt kan dras isär av en dator. Återigen finns det argument från motsatt sida som hävdar att vi borde ha för vana att byta lösenord. Se bara till att du ersätter det med något helt annat, och kanske överväga att använda en lösenordshanterare.
En ny uppsättning NIST-riktlinjer har skrivits av den tekniska rådgivaren Paul Grassi, som berättade WSJ att organisationen ”slutade med att börja från noll”. För att vara rättvis mot Burr var 2003 en helt annan tid, och internets tidiga dagar var fulla av missförstånd som underskattade hela omfattningen av dagens uppkopplade värld. Grassi tycker åtminstone att historien inte borde döma Burr hårt: ”Han skrev ett säkerhetsdokument som höll i sig i tio till 15 år. Jag hoppas bara kunna ha ett dokument kvar så länge.”
