Uppmaning: Tvinga inte regelbundna lösenordsbyten
Brittiska säkerhetsmyndigheten CESG släppte under 2015 en lösenordspolicy som frångår tidigare rekommendationer som säger att användare bör byta lösenord efter 30, 60 eller 90 dagar.
Regular password changing harms rather than improves security, so avoid placing this burden on users. However, users must change their passwords on indication or suspicion of compromise.
Citat från CESG Password Guidance
Och för några dagar sedan så släppte även CESG en djupare förklaring till varför myndigheten har ändrat sina rekommendationer.
Det beror främst på följande tre orsaker:
- Ökad administration – Det är lättare att glömma bort lösenordet om användaren tvingas ändra lösenordet regelbundet.
- Snarlika lösenord – Användaren väljer i många fall snarlika lösenord när denne tvingas ändra lösenord regelbundet.
- Skriva ner lösenordet – Långa komplexa lösenord som måste bytas ofta är svåra att komma ihåg och användaren skriver då ner lösenordet i större omfattning.
CESG är en del av brittiska signalspaningsmyndigheten GCHQ. Här kan du ladda hem CESG lösenordspolicy i sin helhet: