Adgangskodemagasin

Adgangskodeentropi beskriver, hvor svært en adgangskode er at forudsige. Det handler ikke om overfladisk kompleksitet, men om reelt søgerum.

Både adgangskoder og adgangssætninger kan være sikre. Forskellen ligger især i længde, tilfældighed og hvor nemt de er at huske.

Adgangskodelængde er en af de stærkeste håndtag for sikkerhed. For vigtige konti er 16 tegn eller mere en god standard.

En adgangskodegenerator opretter tilfældige strenge eller adgangssætninger, der er meget sværere at gætte end manuelt optænkte adgangskoder.

Gode adgangskoderegler beskytter brugere uden at tvinge dem til usikre løsninger. Dårlige regler avler kun frustration og svagere praksis.

Usikre adgangskoder kan ofte identificeres ved forudsigelige mønstre, genbrug og et forsøg på at opfylde minimumsregler med så lidt indsats som muligt.

Gode adgangskodeeksempler viser ikke nøjagtige kopiskabeloner, men derimod forskellene mellem svage mønstre, brugbare adgangskoder og stærke, tilfældige varianter.

De mest almindelige adgangskodefejl er forudsigelige mønstre, genbrug og adgangskoder, der er for korte. Det er netop disse fejl, der gør reelle overtagelser mulige.

Specialtegn kan hjælpe, men er ikke kernen i adgangskodesikkerhed. Længde og tilfældighed er næsten altid de stærkeste håndtag.

En stærk adgangskode er lang, unik og tilfældig nok til, at den ikke kan gættes eller effektivt genbruges med lækkede data.

Adgangskodeadministratorer er ikke risikofrie, men de er væsentligt sikrere for de fleste brugere end genbrug, browserkaos og manuelt administrerede adgangskodelister.

En hovedadgangskode beskytter hele boksen. Derfor bør den være længere, mere unik og valgt mere omhyggeligt end almindelige login-adgangskoder.

Browserlagring er praktisk, men det svarer ikke altid til en dedikeret adgangskodeadministrator med klar sikkerhedsarkitektur og bedre styring.

En adgangskodeadministrator gemmer, organiserer og genererer legitimationsoplysninger, så hver konto kan have sin egen stærke adgangskode.

Adgangskoder bør ikke ende i noter, browsertekstfiler eller genbrugte mønstre. Den sikreste måde er ren administration med en password manager.

Brute force og password spraying er begge login-angreb, men de adskiller sig ved, om de tester mange adgangskoder mod én konto eller nogle få adgangskoder mod mange konti.

Credential stuffing handler ikke om magi, men om volumen: lækkede loginoplysninger bliver automatisk prøvet af på mange andre tjenester.

Genbrug af adgangskode er en af de største skadesmultiplikatorer. Ellers kan en enkelt læk straks bringe flere konti i fare på samme tid.

Et lækagetjek viser, om en adgangskode eller tilhørende data er dukket op i kendte databaser med kompromitterede legitimationsoplysninger.

Hvis en adgangskode er blevet lækket, har hastigheden betydning: skift adgangskode, tjek genbrug, afslut aktive sessioner og aktiver MFA.

Ikke alle konti er lige kritiske. E-mail, bank og sociale medier kræver hver især lidt forskellige prioriteter, men unikhed og stærke adgangskoder er grundlaget for hver.

Virksomheder har ikke brug for en alt for streng adgangskodepolitik, men en, der understøtter sikre vaner, MFA og klare processer.

Passkeys flytter godkendelse væk fra den klassiske adgangskode. Men de løser ikke alle sikkerhedsproblemer og fjerner ikke adgangskoder fra den ene dag til den anden.

MFA erstatter ikke gode adgangskoder. Det reducerer login-risikoen, men svage eller genbrugte adgangskoder forbliver en angrebsvektor.

Adgangskoder bør ikke ændres hele tiden uden grund. Det afgørende er at reagere på konkrete risici, lækager eller gamle svagheder.

Hvis en tjeneste kan dekryptere adgangskoder, er det et rødt flag. Gode adgangskodesystemer burde slet ikke have brug for den mulighed.

Argon2, bcrypt og scrypt er adgangskode-hash-metoder med forskellige styrker. Moderne systemer er ofte afhængige af Argon2, hvis miljøet understøtter det korrekt.

Salt og pepper er ekstra beskyttelseslag omkring adgangskode-hashes. De gør masseangreb sværere og forbedrer modstandskraften ved lækager.

Hashing og kryptering forveksles ofte. For adgangskoder er hashing den rigtige tilgang, fordi serveren ikke burde være i stand til at gendanne den originale adgangskode.

Seriøse websteder gemmer ikke adgangskoder i klartekst, men som hashværdier med ekstra beskyttelse som salt og moderne hashmetoder.