30 mars 2009

Säkerhet som biter sej själv i svansen

På de flesta företag finns en eller flera personer som ansvarar för informationssäkerheten, dvs att ingen obehörig kan komma åt information som företaget betraktar som intern eller konfidentiell.

Det finns många sätt att hantera detta. Alla bygger på att man identifierar indvider. På somliga företag använder man kort. På andra tumavtryck. På ytterligare andra ställen, och allra vanligast, använder man kombinationen Användarnamn/Lösenord.

Säkerhetsexperter anser att den lösningen är tveksam. Orsaken är att alla lösenord går att knäcka. På många företag misstänker säkerhetsansvariga att anställda lämnar ut lösenord eller har dem nedskrivna.

Många av dessa säkerhetsexperter tror då att bästa sättet att skydda informationen på är att tvinga de anställda att byta lösenord så ofta som möjligt; att spärra återanvändning av lösenord i alltför täta sekvenser (exempelvis växla mellan 4-5 likartade lösenord); att tvinga de anställda att inte använda enkla ord.

Upplägget är helt feltänkt. Vi anställda är beroende av att minnas våra lösenord. Gör vi inte det blir det krångligt, och vi måste lägga tid på annat än att göra våra jobb. Blir vi tvingade att ofta byta mellan långa ointuitiva lösenord hittar vi på logiska regler för dem; skriver upp dem, på lappar eller i mobilen; gör vad vi måste för att komma ihåg dem.

Resultatet blir i praktiken minskad säkerhet.

Fast för säkerhetsexperterna är det bara ett tecken på att de är 'bättre' människor än 'dedär anställda' som inte fattar hur viktigt detdär med hemligheterna är...

Etiketter: , , ,