Du vet alla de krav som brukar ställas på lösenord? Att de måste innehålla en siffra, en gemen, en versal och ett specialtecken. Och att du måste byta lösenord ofta.
Det är slut med de dumheterna nu.
I augusti kom ett senkommet ”förlåt mig!” från en numera pensionerad tjänsteman på den amerikanska standardorganisationen NIST.
Han heter Bill Burr, är idag 73 år gammal, och skäms för den irritation han orsakat och de arbetstimmar hans rekommendationer förslösat. År 2003 plitade han ner dem i ”NIST Special Publication 800-63, appendix A”. De blev ett rättesnöre för planetens alla systemadministratörer.
Vissa idéer fanns det en gång i tiden fog för. Som att byta lösenord ibland för att sätta en tidsgräns för hur mycket datorkraft som kunde ägnas åt att knäcka lösenordet.
Idag är all rationell grund för de gamla rekommendationerna borta och reglerna meningslös säkerhetsteater. Efter åratal av tjat från säkerhetsexperter har NIST accepterat detta. Organisationen kovänder.
Användarnas trotsiga svar på de gamla kraven blev att välja ”Password2!” som lösen när ”Password1!” gått ut. Eller att logga in via länken för dem som glömt lösenordet.
NIST deklarerar nu att regelbundna krav på lösenändringar gör försumbar nytta och processen att ändra lösen är i sig en angreppspunkt.
Vad gäller lösenordet uppmuntrar NIST till användandet av fraser.
Elektroniktidningen rekommenderar att du googlar upp ”XKCD936”, en klassisk seriestripp som förklarar hur en fras som är lätt att minnas faktisk kan vara svårare att knäcka än en teckensekvens som uppfyller NIST:s gamla rekommendationer. Notera något som ofta glöms i analysen av XKCD936: att orden måste väljas slumpmässigt.
Om säkra system är svårare att använda ger folk hellre fan i säkerheten.
Kritiken kan göras ännu djupare. Reglerna var ett sätt att skylla på offret. Istället för att skapa säkra system, skapas bilden att säkerhet hänger på användaren. Listor över årets sämsta lösenord späder på samma föreställning.
Liksom de varningar som ploppar upp på dator och webb, vars pragmatiska betydelse bara är ”Jag är en irriterande informationsruta. Klicka här för att slippa se mig”.
Eller närmare bestämt: ”Vi har misslyckats med att bygga ett säkert system. Men om du klickar i den här rutan så är det inte vårt fel utan ditt”.
En del av Bill Burrs gamla lärjungar letar efter kryphål i de nya rekommendationerna. De vill fortsätta med lösenbyten och mixade teckenuppsättningar.
Den här ledaren är ett upprop till dessa administratörers användare. Ni har lidit länge nog under de kontraproduktiva lösenordsreglernas tyranni.
Det finns ingen auktoritet att luta sig mot längre. Kräv att de nya rekommendationerna tillämpas!