I snart 15 år har mangt en internetbruger nok benyttet sig af hans råd om at bruge både tal, symboler og store bogstaver for at skabe et sikkert password - men nu indrømmer manden bag 'Bibelen til det gode password', at han tog fejl.
I 2003, mens han arbejdede for den amerikanske stat, forfattede Bill Burr en håndbog til, hvordan man skaber et solidt password til sine internetkonti. Siden har 'password-guruen's ord, som blev publiceret i ‘NIST Special Publication 800-63. Appendix A’, nærmest været lov, og det er de færreste steder, man får lov at oprette en konto, uden at man rådes til at bruge både tal, symboler og store bogstaver for at skabe et 'stærkt password'.
Men et password bliver ikke stærkere af de mange krumspring. Faktisk stærtimod, indrømmer Bill Burr nu i et interview med Wall Street Journal, skriver Daily Mail.
»Jeg fortryder meget af det, jeg gjorde,« siger Bill Burr, som blandt andet rådede folk til at skifte password hver tredje måned og bruge obscure tegn og kombinationer.
»Det driver bare folk til vanvid, og de vælger ikke gode kodeord af den grund.«
Skulle man følge Bill Burrs velmenende råd, kunne man for eksempel tage udgangspunkt i det simple password 'password' (som faktisk er et af de mest brugte internationalt) og i stedet omskrive 'Pa$w0rd123!'.
Men det skal man altså holde sig fra, viser det sig nu efter knap 15 år. For i stedet for at skærpe sikkerheden, gør det den svagere, fordi folk bruger det samme password til flere konti eller skriver det ned, fordi det er svært at huske, siger Bill Burr.
Desuden hjælper det heller ikke at ændre password hver tredje måned, som anbefalet, da de fleste laver små ændringer som at skrive '1' bagved og ændre det til '2' ved næste skifte - et greb der er så benyttet, at hackerne har taget højde for denne lille manøvre i deres scripts.
Istedet mener eksperter nu, at man skal holde sig til ord og sætninger, der giver mening - men til gengæld skrive langt.
Allerede i 2011 lavede tegner Randall Munroe, der laver noget så sjældent som tegneserier om store videnskabelige problemer, en stribe, der udstillede problemet. Her kom han frem til, at det ville tage 550 år at hacke sig ind i en konto beskyttet af 'correcthorsebatterystaple', hvor imod 'Tr0ub4dor&3' kunne knækkes på tre dage.
'I 20 år har vi lært alle at bruge passwords, der er svære at huske for mennesker, men nemme at gætte for computere,' konkluderer han.
Hans udregninger er nu blevet bekræftet af sikkerhedseksperter, skriver Wall Street Journal.
