IDG om svaga lösenord

IDG har publicerat en artikel idag som tar upp hur vanligt det är med svaga lösenord. Alldeles för ofta brukar lösenord som “Password”, flickvännens namn, sonens personnummer och liknande användas, vilket gör att det blir alldles för lätt att knäcka det, även om det är krypterat.

Det man bör göra för att lagra lösenorden är att tvinga fram ett lösenord med många olika tecken, samt “konstiga” tecken som ½”#¤%& och liknande, samt hasha med ett salt. Det bör göras genom att man slumpar fram ett lösenord istället för att låta användaren själv välja vad denne skall ha.

Problemet då är dock att det blir svårt att komma ihåg lösenordet, så då kan det hända att det står skrivet på en post it-lapp på skärmen istället, vilket inte hellre gör det alltför säkert.

Så hur ska man kunna ha säkra lösenord, men samtidigt göra det enkelt för användaren att logga in? Det finns många sätt att lösa det på, till exempel med koddosor. De kräver dock en extra hårdvara som måste införskaffas och de kräver dessutom mycket jobb för att konfigurera.

Ett annat sätt är att använda Windows CardSpace. Det enda det kräver är att användaren har en Identity Selector samt ett InfoCard, antingen self issued, eller ett managed som är utfärdat från den Identity Provider (IP) som används.

Att implementera stöd för Windows CardSpace är som jag har visat i de föregående posterna ingen stor utmaning. De är dessutom plattforsoberoende då det bara postar en XML-fil som behöver tolkas hos RP. Det finns exempel på internet där Windows CardSpace postar XML:en mot en PHP-sida, helt utan problem och med samma säkerhet som om det hade varit ASP.NET.

Säkerhet är något som tas på alltför litet allvar idag och som absolut borde prioriteras högre, inte minst på grund av de stora hackerattacker som har uppstått på grund av att användare är tillåtna att ha lätta lösenord.