Stop med at rotere adgangskoder: Hvorfor vi droppede reglen "hver 90. dag" fra vores Pentest-rapporter
I årevis har sikkerhedstjeklister behandlet tvungen udløb af adgangskode som evangeliet. Hver 30., 60. eller 90. dag skulle brugerne udtænke en ny række symboler og cifre – ellers skulle de blive låst ud. I dag er de førende standardiseringsorganer enige: den regel er kontraproduktiv, og vi har fjernet den fra alle webapplikationsresultater i vores penetrationstestrapporter.
Hvad ændrede sig?
| Gammel tænkning | Ny evidensbaseret vejledning |
|---|---|
| Hyppige ændringer af adgangskoder begrænser det tidsrum, hvor en stjålet adgangskode er nyttig. | Angribere venter sjældent måneder på at bruge stjålne legitimationsoplysninger; imens skubber selvvalgte nulstillinger ærlige brugere mod mønstre som Vinter 2025!, som er trivielle at gætte. |
| Periodiske nulstillinger antager, at brugerne kan huske friske, stærke hemmeligheder uden reserve. | Brugere genbruger ofte justeringer (f.eks. "Adgangskode1!" → "Adgangskode2!") eller gemmer legitimationsoplysninger usikkert, hvilket underminerer adgangskodens styrke og sikkerhed. |
| Tvungen udløb reducerer angrebsvinduet. | Moderne tjenester til notifikation om brud og multifaktorgodkendelse mindsker det effektive vindue uden at påføre brugeren friktion. |
| En ensartet politik er nemmere for administratorer at håndhæve. | Risikobaserede politikker, der er informeret om anomalidetektion og brudsfeeds, er kun målrettet mod nulstillinger, hvor kompromittering er sandsynlig, hvilket optimerer sikkerhedsindsatsen. |
Nøglestandarder
- NIST 800‑63B siger eksplicit verifikatorer "BØR IKKE kræve, at memorerede hemmeligheder ændres vilkårligt." (NIST-sider)
- Den britiske Nationalt Center for Cybersikkerhed (NCSC) advarer om, at tvungen udløb "skader snarere end forbedrer sikkerheden."NCSS)
- microsoft fjernede politikker for udløb af adgangskoder fra sin Windows-sikkerhedsgrundlinje og kaldte dem af lav værdi sammenlignet med MFA og overvågning af brud. (Teknologifællesskab)
Hvorfor vi droppede resultaterne af adgangskoderotation
Under pentests af webapps plejede vi at markere "Adgangskoden skal udløbe hver X dage", når indstillingen manglede. Den anbefaling er nu væk. Her er hvorfor:
- Adfærd i den virkelige verden slår teori. Brugere reagerer på konstante nulstillinger ved at genbruge justeringer ("Adgangskode1!" → "Adgangskode2!") eller skrive adgangskoder ned.
- Moderne styringer overgår det. Multifaktorgodkendelse, API'er til alarmering af brud og adgangsnøgler reducere risikoen langt mere effektivt.
- Standardjustering. Vores kunder sammenligner sig med NIST, ISO 27001, SOC 2 og CIS; ingen af dem kræver længere periodiske nulstillinger, medmindre der er mistanke om en kompromitteret situation.
Hvad vi anbefaler i stedet
- Én lang, unik adgangskode pr. konto – fire eller fem tilfældige ord er rigeligt.
- Slå MFA til, eller endnu bedre, flyt til adgangsnøgler/FIDO2 hvor adgangskoden forsvinder helt.
- Hold øje med kompromis: integrere “have været nedsat" eller lignende brudsfeeds og kun tvinge en nulstilling, hvis en legitimationsoplysning lækker, eller der er en stigning i mistænkelig aktivitet.
- Brug en adgangskodeadministrator, vores valg er Bitwarden så personalet aldrig genbruger hemmeligheder på tværs af systemer.
- Gennemgå delte/tjenestekonti årligt; hvis de ikke kan bruge MFA, planlæg en manuel ændring.
Konklusionen for CISO'er
Obligatorisk udløb gav mening, da adgangskoder var den eneste forsvarslinje. I 2025 er det en relikvie, der dræner produktivitet og svækker sikkerhedstilstand. Ved at tilpasse dine politikker til NIST, NCSC og Microsoft – og ved at anvende MFA og adgangsnøgler – får du stærkere beskyttelse og gladere brugere.
Vi fortsætter med at finde reelle sårbarheder under din næste penetrationstest – men du vil ikke se "30-dages adgangskoderotation" på handlingslisten igen.
Anna Shreder
Anna er sikkerhedsforsker hos Sayfer. Hun brænder for at forstå og forske i angribende og forsvarende vektorer, der optræder i nye nye teknologier.
Vil du høre mere?
Et gratis konsulentmøde inkluderet.
