Lösenordens styrka inte så viktig

I Dagens Nyheter skräms man med att lösenorden vi använder är för svaga. Det är inte nödvändigtvis så. Bruce Schneier rapporterar om ett paper som påpekar att så länge man har begränsat antal login-försök, eller en större tidsfördröjning vid upprepade försök, så kan man inte använda brute force.

Då kan ju den som attackerar bara ha tre förök på sig t ex, och då är det inte så lätt att gissa ens ett enkelt lösenord. Dn skriver följande:

Nästan fyra av tio svenskar använder för svaga lösenord på Internet. I undersökningen beställd av Post- och telestyrelsen uppger dessutom nästan hälften att de ofta använder samma lösenord för exempelvis e-post och kundkonton.

Läs mer: Många lösenord lätta att knäcka - DN.se

Men Dinei Florêncio, Cormac Herley, och Baris Coskun skriver följande återgett på Schneiers blogg:

We find that traditional password advice given to users is somewhat dated. Strong passwords do nothing to protect online users from password stealing attacks such as phishing and keylogging, and yet they place considerable burden on users. Passwords that are too weak of course invite brute-force attacks. However, we find that relatively weak passwords, about 20 bits or so, are sufficient to make brute-force attacks on a single account unrealistic so long as a "three strikes" type rule is in place.

Läs mer: Schneier on Security: Strong Web Passwords