Skal du skifte kodeord, og i så fald hvor ofte?

Next story
Leif Jensen

Kodeord er en underlig størrelse, og selvom vi i mange år har hørt, at det er en god ide at skifte kodeord ofte, så er sagen ikke helt så enkel, og jeg har flere gange argumenteret for, at du faktisk kun behøver 7 kodeord, to-faktor-godkendelse og omtanke.

Samtidig ser vi, hvordan passkeys er på vej som en erstatning for kodeord, og hvordan biometrisk godkendelse bliver stadig mere almindelig at bruge – dog stadig primært på vores smartphones og computere.
Men kodeord er og bliver stadig den mest almindelige måde at få adgang til vores onlinetjenester, mail og så videre på. Så tilbage står spørgsmålet, om du skal skifte de kodeord, og hvor ofte du skal gøre det.

Indtil for nylig var den kollektive visdom, at du bør skifte kodeord så ofte som muligt, og gerne til et kompliceret og unikt et af slagsen. Men tiderne ændrer sig, og meget tyder på, at det ikke nødvendigvis øger sikkerheden mere at skifte kodeord ofte.

Det skyldes ikke mindst programmer, der hjælper med til at huske kodeord for dig, de såkaldte password managers, og den før omtalte to-faktor-godkendelse. Den første gør det let at huske komplicerede kodeord, og den anden giver dig et ekstra lag af sikkerhed på dine konti.

Derfor ser vi også, at blandt andet US National Institute of Standards and Technology (NIST) og Englands National Cyber Security Center (NCSC) ikke længere anbefaler, at folk bliver tvunget til at ændre deres kodeord, med mindre bestemte kriterier er opfyldt.

Argumenterne bag dette holdningsskifte er blandt andet, at NIST mener, at folk har en tendens til at vælge svagere kodeord eller hemmelige spørgsmål, der er lette at huske, hvis de ved, at de ofte skal skifte.
Samtidig skriver folk ofte nye kodeord ned for at huske dem, og alt i alt kan hyppig udskiftning af kodeord svække den overordnede sikkerhed, hvilket måske virker selvmodsigende, men erfaringer viser, at det er tilfældet.

Så hvornår skal du skifte kodeord?
Naturligvis er der situationer, der kan gøre det nødvendigt, at du skifter kodeordet, og de kommer her.

  • Dit kodeord har været en del af et datalæk fra en onlinetjeneste – du har enten fået besked fra tjenesten direkte, eller måske fra et af de online-sites, der overvåger lækager, så som: Have I Been Pwned?, SpyCloud, Dehashed, Troy Hunts Pwned Passwords og Password.Leak.Checker.
  • Du har et kodeord, der er svagt og let at gætte, f.eks. dit barns navn, dit kæledyrs navn eller tilsvarende.
  • Du har genbrugt dit kodeord på tværs af vigtige onlinetjenester – hvilket du aldrig bør gøre.
  • Din enhed har været kompromitteret af malware.
  • Du har delt dit kodeord med andre.
  • Du har fjernet folk fra en delt konto.
  • Du har logget ind på en tjeneste fra en offentlig computer eller fra en vens computer, og her brugt dit kodeord.

Så når du nu skal vælge et kodeord, så har jeg et par gode råd til dig:

  • Læs min blog om de eneste 7 kodeord, du har brug for
  • Brug et unikt kodeord til dine vigtige tjenester
  • Hold øje med, om dine kodeord har været med i datalækage
  • Brug 2-faktor-godkendelse, når det er muligt
  • Hvis muligt så slå passkey til
  • Gem ikke dine kodeord i en browser, brug en password manager, hvis det er nødvendigt

Husk at du på cybervejret.dk kan få en ugentlig opdatering om it-sikkerhed. Her tager jeg hver uge pulsen på cybersikkerhedssituationen i Danmark og resten af verden.