Enligt ”Data Breach Investigations Report 2016” involverar hela 63% av alla dataintrång dåliga lösenord.
Med tanke på hur vanligt det är med dåliga lösenord och återanvändning av dem både privat och på jobbet, är detta något som säkerhetsansvariga idag är skyldiga att sätta sig in i.
– Oavsett hur bra virusprogram och brandväggar en organisation har, spelar det ingen roll om man missar denna mest grundläggande säkerhetsåtgärd, säger Thorbjörn Sjövold, CTO på Specops Software.
Men det som en gång har ansetts vara god praxis, som att regelbundet byta lösenord och ha krav på komplexitet har fått sina motståndare.
Tvinga medarbetare att byta lösenord – bra eller dåligt?
Rekommendationen att byta lösenord regelbundet baseras på faktumet att det kan förhindra obegränsad användning av läckta lösenord. Hackare är inte alltid intresserade av att samla in data under en dag, utan övervakar gärna data över en tidsperiod. Dessutom kan det ge skydd från användare som tenderar att återanvända lösenord – om deras lösenord äventyras på annat håll. Men nya rön ifrågasätter denna rekommendation.
Forskare vid University of North Carolina undersökte hur svårt det var att gissa sig till vilket lösenord en användare skulle byta till. I 41 procent av fallen lyckades de på bara några sekunder få fram vilket det nya lösenordet skulle bli. Att tvinga alla att byta lösenord är därför av tveksam nytta, däremot är det högst relevant att göra det för högriskkonton, som till exempel administratörer och helpdeskpersonal. De har tillgång till information som kan orsaka stor skada om den hamnar i fel händer, och är därför oftast hackarnas primära mål.
– Man måste anpassa kraven till personens risknivå. Om de med tillgång till känslig information byter lösenord regelbundet, och då väljer bra lösenord, är det ett viktigt steg för säkrare IT-miljö, säger Thorbjörn.
Minska risken för dataintrång
Utöver att se över högriskkonton, vill Thorbjörn lyfta fyra sätt att effektivt täppa till den säkerhetslucka som lösenord faktiskt utgör. Dessa fyra punkter är en sammanfattning av uppdaterad bästa praxis enligt experter inom området, med Specops egen twist:
- Utbilda era medarbetare vad säker lösenordshantering innebär, och vilka risker organisationen utsätts för om detta inte följs. Detta bör ses som en hygienfaktor, men att helt lämna över ansvaret till medarbetarna är en riskabel väga att gå. Som säkerhetsansvarig har man några tekniska alternativ.
- En obestridlig metod för att höja säkerheten är att använda flerfaktorsautentisering. Detta bör användas i så stor utsträckning som möjligt, särskilt för högriskkonton och kritiska system som till exempel lösenordsåterställning.
- För att förhindra ”Dictionary attacks” bör man även se till att systemet inte gör det möjligt att använda ord från ordlistor, eller lösenord som finns med på läckta lösenordslistor.
- Utöka antalet tillåtna tecken i lösenordet och uppmuntra användandet av lösenfraser, dvs längre lösenord som har en mening för innehavaren. Exempel på en lösenfras är ”Jagälskarminaporscheturbo!”. Komplexa lösenord är svåra att komma ihåg och leder till oönskat beteende, som att anteckna sina lösenord på osäkra ställen. Att ha långa lösenfraser däremot, är både effektivare mot Brute Force attacker, och lättare att komma ihåg.
