Historien om hvorfor medarbejdere mange steder skal skifte password hver 3. måned er et slående eksempel, hvordan datasikkerhed tænkes forkert.

Nemlig at datasikkerhed alt for ofte handler om tekniske løsninger fremfor at forstå almindelig menneskelig adfærd.

Det kom frem på en IT-temadag, som HK Kommunal for nylig arrangerede i Århus med fokus på sikkerhed, hacking, phishing, doxxing og alt det andet grimme, som IT-konsulenter skal have styr på.

Gammeldags praksis har overlevet

Nåmen, historien er, at det tvungne skift af password stammer fra det amerikanske militær, hvor man i tidernes havde få computere, få adgange til databaser men mange med behov for at tilgå dem. 

Derfor havde en afdeling kun én adgangskode til et system eller en database. 

Men da folk jo stoppede og fik nyt job, måtte man jævnligt skifte det fælles password, så afgåede ansatte ikke længere havde adgang.

Det er denne praksis, som har overlevet i en sådan grad, at langt de fleste arbejdspladser nu har en indgroet praksis, hvor medarbejdere jævnligt skal skifte password til systemerne.

Folk skriver ned eller finder lette passwords

Men det er en fuldstændig unødvendig og misforstået praksis, lød det fx på et af oplæggene fra Aslak Randsby, der er sikkerhedsekspert og sikkerhedstræner i ”Afkode”.

- For pointen er at den slags rutiner i virkeligheden ikke øger sikkerheden, tværtimod er den med til at forværre sikkerheden.

Problemet er, at mange IT-folk har alt for meget fokus på de tekniske løsninger og glemmer, hvor stor en betydning den menneskelige adfærd har.

For når et system ”tvinger” personer til at skifte password, vil langt de fleste vælge at gøre et af følgende: 1) skrive deres passwords ned, for det bliver umuligt at huske dem 2) vælge lettere og mere forudsigelige password, som er lette at huske eller som at lette at opdatere, fx ved at det krævede tal i koden blot ændres ved fortløbende numre.

Uanset er konsekvensen den samme.

- Det bliver lettere for hackere at finde eller gætte password til systemet, pointerer Aslak Randsby.