Secify.com

NIST nya lösenordsförslag: Skippa utropstecken, versaler och siffror

20 november, 2024
Uppdaterad: 22 november, 2024
Uppskattad lästid: 2 min

NIST nya lösenordsförslag: Skippa utropstecken, versaler och siffror

NIST (National Institute of Standards and Technology) har nyligen presenterat ett utkast med nya riktlinjer för lösenordssäkerhet. De nya riktlinjerna innebär förändringar för att förbättra både användbarhet och säkerhet för lösenord, och de fokuserar på att minska onödiga krav som tidigare varit standard. Vi har alltid sagt det är viktigt att man inte inför, vad vi kallar för, onödig säkerhet och krånglar till sin infrastruktur. Nu har NIST tagit fram förslag på nya rekommendationer.
Här är de viktigaste förändringarna som NIST föreslår:

Krav på lösenordslängd och teckentyper

  • Lösenord ska ha en minimilängd på åtta tecken, men NIST rekommenderar en minimilängd på 15 tecken för ökad säkerhet.
  • Användare ska kunna skapa lösenord som är upp till 64 tecken långa.
  • Alla utskrivbara ASCII-tecken och Unicode-tecken (över 140 000 tecken) ska godkännas i lösenord vilket ger en otroligt stor mängd av variationer vid skapandet av lösenord.

Avskaffande av komplexitetskrav

En väldigt omtalad och säkert uppskattad av många är den del av NIST uppdaterade riktlinjer är att man slutar kräva obligatorisk komplexitet i form av specialtecken, kombinationer av stora och små bokstäver, siffror och symboler. Istället prioriteras lösenordets längd, eftersom längre lösenord ger bättre skydd utan att påtvinga komplicerade kombinationer. Lösenord på åtta tecken betraktas som relativt svaga, och det rekommenderas därför att lösenorden, där det är möjligt, ska vara betydligt längre.

Dessutom tillåts fler teckentyper, inklusive alla ASCII-tecken och Unicode, vilket gör det möjligt att skapa lösenord som är svårare att knäcka utan att lägga till komplexitetskrav.

Inga krav på periodisk återställning

NIST föreslår också att kravet på regelbundna lösenordsbyten avskaffas, eftersom det kan leda till att användare väljer lättare lösenord eller gör minimala ändringar vid varje byte. Återställning ska endast vara obligatorisk om det finns bevis på att lösenordet har komprometterats. Detta innebär en väsentlig förändring för många organisationer som tidigare haft regelbundna lösenordsbyten som krav.

Dator, på skärmen syns en inloggningsbild

Avskaffande av säkerhetsfrågor och lösenordstips

En annan förändring är att säkerhetsfrågor och lösenordstips inte längre ska vara tillåtna. Att använda säkerhetsfrågor som exempelvis “Vad heter ditt första husdjur?” kan leda till att känslig information är lättillgänglig för obehöriga. NIST rekommenderar därför att avskaffa säkerhetsfrågor och att lösenordstips inte sparas på ett sätt som gör dem tillgängliga för obehöriga.

Fullständig verifiering av lösenord

Slutligen påpekar NIST att hela lösenordet måste verifieras vid inloggning. Detta innebär att verifieringsmetoder inte får förkorta eller endast kontrollera en del av lösenordet vid autentisering. Om tekniska begränsningar leder till att endast en del av lösenordet verifieras, kan detta minska säkerheten för användarna, något som de nya riktlinjerna tydligt avråder ifrån.

NIST uppmanar även tjänsteleverantörer att:

  • Erbjuda vägledning för användare så att de kan skapa starka lösenord.
  • Använda krypterade och autentiserade kanaler vid begäran av lösenord.
  • Tillåta användning av lösenordshanterare, då dessa verktyg ökar chanserna att användare skapar och använder starka lösenord.

Sammanfattning

De nya riktlinjerna från NIST betonar säkerhet genom längre lösenord snarare än komplexitet, samt att minska återkommande krav som faktiskt kan försvaga säkerheten. Dessa förändringar är avsedda att göra lösenord enklare att använda och samtidigt svårare att knäcka. Man rekommenderar att låta bli att byta ut lösenord på schema och att i stället övervaka vilka lösenord som läckt och byta dem när man misstänker att lösenordet kommit i felaktiga händer. Det innebär för företag att övervakning av deras känsliga uppgifter är en god förutsättning för att följa de nya förslagen. De betonar också värdet i att använda sig av lösenordshanterare som vi många gånger rekommenderat här i vårt nyhetsbrev. De skapar automatiskt långa och svåra lösenord och hjälper dig dessutom att hålla unika lösenord för varje inloggning utan att du behöver komma ihåg mer än ett, det till lösenordshanteraren.

Vi ser positivt på NIST nya förslag och tycker det kommer rätt i tiden där vi måste börja revidera våra gamla sätt för säkerhet och förenkla för oss själva samtidigt som vi försvårar för eventuella hotaktörer.

2024-11-22T14:24:29+01:00
Viktor Petersson

Skrivet av: Viktor Petersson

Jag är en engagerad cybersäkerhetsrådgivare på Safestate. Efter att ha genomgått en kvalificerad yrkesutbildning (KY) inom IT-säkerhet har jag utvecklat en djup förståelse för att identifiera och hantera säkerhetsrisker i digitala miljöer. Min bakgrund inom nätverkssäkerhet, penetrationstester och incidenthantering gör mig till en pålitlig rådgivare för företag som vill stärka sitt skydd mot cyberhot.

Jag är känd för min noggrannhet och mitt strategiska tänkande, och jag brinner för att hjälpa företag att skydda sina mest värdefulla tillgångar. När jag inte arbetar med att förbättra cybersäkerheten, delar jag gärna med mig av mina insikter genom att föreläsa på konferenser och skriva artiklar om de senaste trenderna och bästa praxis inom IT-säkerhet.

På fritiden njuter jag av att vandra i naturen, läsa science fiction och umgås med min familj.

Viktor Peterssons senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559078-8062 | 020-66 99 00 | Kontakta oss

Till toppen