Foto: Keys_1, ~Brenda-Starr~, flickr.com

I dag fikk vi et av de “vanlige” spørsmålene til Feide. Lettere omskrevet kan det summeres opp i “Hvor ofte må passord byttes?”

Hva skal en svare på dette? Det mest riktige og definitivt minst hjelpsomme svaret vil være “Det kommer an på”. Litt bedre er “Så ofte tjenesten trenger det for å tilfredstille sikkerhetsbehovet, og så sjelden at brukeren ikke begynner å skrive ned passordet eller lager gjennomskuelige passordmønstre ved påtvunget skifte.”

Professor Eugene Spafford ved Center for Education and Research in Information Assurance and Security (CERIAS) skrev for noen år siden et par blogginnlegg som fremdeles er veldig interessante i denne sammenhengen. Begge innleggene bør leses i sin helhet, men under gjengir jeg noen oppsummeringer og et par egne tanker.

Hvordan skal en IKT-tjeneste i utdanningsektoren kunne finne ut hvor sikker den må være på at en person er den han/hun utgir seg for før den slipper denne personen inn? Hvilke kriterier skal en se etter og hva er "sikkert nok"?