Varför använder Flashback regler för lösenord?

Enligt de allmänt vedertagna riktlinjerna NIST Special Publication 800-63B så borde man som företag inte tvinga användarna att använda specialtecken, viss mängd stora bokstäver etc.

Man ska däremot förbjuda användarna att använda lösenord från en lista med kända dåliga eller läckta lösendord och man borde hjälpa användarna att skapa ett starkt lösenord, exempelvis m.h.a något som visar hur starkt lösenordet är

Finns det några argument från Flashbacks sida för varför de valt att implementera dessa lösenordsregler eller har dessa regler funnits länge och bara inte uppdaterats när nya riktlinjer publicerats?

Det var en person som hackat tusentals konton med svaga passord och använde dessa för att spamma forumet.

Tja, flashback är inte bundet att följa nån annans vedertagna regel.

Även om jag själv tycker det är jobbigt behöva följa teckenkrav, lösenord kan "attackeras" , dvs prövas fram till (sk brute force). En säkerhetsåtgärd, annars brukar konton låsas efter antal misslyckade försök.

Det har gått lite till överdrift när det gäller att man måste skapa lösenord med så jävla massa tecken.

Det här lösenordet räcker gott å väl:
#U4jhi5ddO#

Enligt en testsida så håller det: 400 år

Enligt en annan så är det: 11 centuries

Kanske lite oklart vad som egentligen gäller. Men det bör räcka gott. Samtidigt så är det sämsta företag som har implementerat att man med jämna mellanrum måste byta lösenord. Det tenderar att folk i panik skapar medvetet lätta lösenord eller att de måste skriva ner dem.

Ja, och så borde vi införa FIDO2-auth

Spännande, det visste jag inte! Vet du om detta var innan Flashback blockade login-försök efter x misslyckade försök eller var lösenorden så dåliga att man bara testade de x vanligaste lösenorden för samtliga användare och kom in på många?


Självklart gör Flashback som de vill men riktlinjerna är generellt branchstandard av en anledning och väl underbyggda med statistik. De tar även upp just att man ska ha någon slags "rate-limiting mechanism" just för att motverka brute-force-attacker, vilket Flashback redan har i dagsläget.


Riktlinjerna säger även att man inte bör tvinga användare att byta lösenord med jämna mellanrum av just den anledningen du tar upp. Vissa företag inför detta ändå med argumentet att det kan vara i stort sett omöjligt att veta om ett lösenord läckt och att ett enda läckt lösenord kan orsaka ganska stor skada för hela företaget. Detta till skillnad från tjänster man använder som privatperson (ex. Flashback) där ett läckt lösenord framförallt orsakar skada för användaren själv.

Självklart är lösenord med stora bokstäver och specialtecken starkare, alltså svårare att brute-force:a. Det som tyvärr är fallet när man har hårda regler för användningen av dessa är att en väldigt stor mängd människor (även jag själv genom åren) väljer att använda dessa stora bokstäver och specialtecken på samma sätt. Om reglerna varit att lösenordet måste vara 10 tecken långt, innehålla siffror, stora och små bokstäver samt minst ett specialtecken så hade en väldigt stor andel användare valt lösenord som är exakt 10 tecken långa, börjar med stor bokstav och slutar med 1-3 siffror följt av antingen utropstecken, frågetecken eller punkt. Detta gör lösenorden extremt mycket lättare att brute-force:a då man bara behöver testa lösenord som uppfyller dessa kriterier för att knäcka en väldigt stor del av alla lösenord.

Ger man inga regler, utom en svartlista och en eventuell mätare som berättar hur starkt lösenordet är, så kommer användarna generellt skapa mer unika och väldigt mycket starkare lösenord.

Eller så gör man det så enkelt att man låter Google Chrome skapa ett lösenord åt en. Som man sen lagrar i webbläsaren. Kan inte bli enklare. Till just FB där man skapar kontot med en tillfällig mejl så finns det såklart vits att spara lösenordet i en textfil som man har i en krypterad container där man sparar andra viktiga dokument.

Att skriva ner sitt lösenord på en papperslapp är oftast bättre än att välja ett enkelt. En eventuell inbrottstjuv kommer generellt inte vara ute efter att komma över dina onlinelösenord.

Det var efter, de gjorde sina tillåtna försök och sen timeade det ut innan de försökte igen osv.

Det var 2022, en tråd som berör ämnet:
(FB) Flashback utsatt för spamattack (Hösten 2022)

Det har hänt lite då och då att folk som haft sina lösenord till olika jobbkonton nedskrivna ha förlorat dem (någon kuslig typ har stulit dem) och om de kan göra lite roligt med sina jobbkonton så kan man sitta rejält i skiten.

Är inte # tecken då?