Her er et kig på det ydmyge password og nogle måder at forbedre passwordsikkerheden på.
Uanset om du elsker eller hader dem, spiller kodeordet en vigtig rolle i vores daglige arbejdsliv. Adgangskoden er blevet den mest almindelige måde at logge ind på en virksomhedsapp på, og de fleste onlinekonti er adgangskodebaserede; selv med MFA(multifaktorgodkendelse) og biometrisk godkendelse er adgangskoden fortsat den første faktor.
Grunden til at passwordet er så populært er, at det er nemt for folk at bruge og for udviklere at implementere. Men desværre har kodeordet mange akilleshælene, og cyberkriminelle udnytter kodeordets sårbarhed fuldt ud.
Hvad er passwordsikkerhed?
Kodeordssikkerhed er en grundlæggende del af sikkerheden på arbejdspladsen. Men adgangskoder bliver jævnligt udnyttet, misbrugt og misbrugt. Nogle forbløffende statistikker viser, hvor slemt det står til med passwordsikkerheden i de seneste år:
Hvor mange adgangskoder bliver stjålet?
- Cyberkriminelle udnyttede 1,7 milliarder loginoplysninger (herunder adgangskoder) i 2021.(Spycloud-undersøgelse)
Hvor usikre er passwords?
- Den hyppigste genbrugte ukrypterede adgangskode var "password"(Spycloud-undersøgelse).
- 45 % af brugerne ændrer ikke deres adgangskoder efter et brud.(LastPass-undersøgelse)
Hvordan misbruges adgangskoder?
- 60 % af brugerne genbruger adgangskoder.(Spycloud-undersøgelse)
- 84 % bruger den samme adgangskode på tværs af flere konti.(Bitwarden-undersøgelse)
Vigtigheden af passwordsikkerhed
Adgangskoder er sårbare over for phishing-angreb: En Hypr 2022-undersøgelse viste, at 89 % af virksomhederne oplevede et phishing-angreb i 2021. Undersøgelser af effektiviteten af phishing har vist, at 32 % af de ansatte klikker på et phishing-link. Menneskelige fejl, som omfatter deling af adgangskoder og brug af svage adgangskoder, ligger bag 95 % af cyberangreb ifølge undersøgelsen "IBM Threat Intelligence".
Forbedring af passwordsikkerheden er en grundlæggende måde, hvorpå en organisation kan forbedre sin sikkerhedssituation. Fokuser derfor på sikker praksis for adgangskoder for hurtigt at forbedre din organisations risikoniveau.
Her er ti bedste metoder til at forbedre passwordsikkerheden for at reducere sandsynligheden for et cyberangreb.
Ti gode råd til at holde dine adgangskoder stærke og sikre
Lad være med at dele dem!
Medarbejdere deler adgangskoder. En undersøgelse fra Yubico og Ponemon viste, at 49 % af IT-sikkerhedspersonalet og 51 % af medarbejderne deler adgangskoder med kolleger for at få adgang til forretningskonti.
Deling af adgangskoder betyder, at disse adgangskoder er uden for din organisations kontrol. Kontrol er afgørende for at opretholde sikkerheden. Sørg for, at dine sikkerhedspolitikker og -praksis afspejler, at en medarbejder ikke må dele adgangskoder. Det er vigtigt at uddanne alle medarbejdere om vigtigheden af ikke at dele adgangskoder.
Brug ikke det samme kodeord til forskellige konti
Medarbejderne kan have mange adgangskoder at huske; som nævnt ovenfor indrømmer 60 % af medarbejderne, at de genbruger adgangskoder på tværs af flere konti. Afhold medarbejderne fra at bruge den samme adgangskode ved at give dem mekanismer til at forhindre dette. Disse mekanismer kan omfatte Single Sign On (SSO) på tværs af relaterede konti og en password manager.
Brug en adgangskodeadministrator
I vores indlæg "Why You Need A Password Manager" anfører MetaCompliance, at en gennemsnitlig person skal huske mellem 70-80 adgangskoder. Selv de, der har en utrolig hukommelse, ville have svært ved at huske så mange adgangskoder.
For at hjælpe med at fjerne denne byrde for medarbejderne kan din virksomhed udstede en password manager til medarbejderne. En password manager er en digital boks, der gemmer, sikrer og præsenterer en adgangskode, når en bruger logger ind, så han/hun ikke behøver at huske adgangskoden.
Skriv ikke adgangskoder ned på dit skrivebord!
En dårlig vane med adgangskoder er at skrive dem ned på et stykke papir: De er potentielt farlige, især i et arbejdsmiljø, da enhver forbipasserende person kan kopiere adgangskoden og bruge den til at logge ind på den pågældende medarbejders konti. Hvis en medarbejder bruger den samme adgangskode til mange konti, kan det også føre til eksponering af flere konti.
Udlever aldrig adgangskoder, hvis du bliver spurgt
Sørg for, at medarbejderne forstår, hvordan social engineering fungerer. Brug Security Awareness Training til at understrege, hvordan svindlere narrer dem til at udlevere personlige oplysninger, herunder adgangskoder.
Gør adgangskoder svære at gætte
Den mest populære adgangskode er 123456. Det gør det nemt for en cyberkriminel at udføre sit arbejde. Adgangskode-sikkerhed hjælpes ved at håndhæve brugen af adgangskoder, der er svære at gætte. Udarbejd desuden en politik for adgangskoder, der tilskynder til brug af mere komplekse adgangskoder. Det amerikanske standardiseringsorgan NIST giver regelmæssigt en opdatering af de mest robuste adgangskodepolitikker.
Skift adgangskoder, hvis du er i tvivl
Sikkerhedspolitikker bør sikre, at medarbejderne ændrer deres adgangskoder, hvis de mener, at de er blevet phished. Obligatoriske passwordopdateringer hver X uge eller måned kan dog ofte resultere i dårlig passwordhygiejne. Hvis folk er tvunget til at ændre deres adgangskoder, har de en tendens til at bruge mindre robuste opdaterede adgangskoder - måske ved at tilføje et tal til sidst: "password" bliver til "password12".
Gør spørgsmål om inddrivelse af adgangskode sværere
Inddrivelse af adgangskoder er ofte et mål for cyberkriminelle; de metoder, der bruges til at inddrive adgangskoder, kræver, at brugerne indtaster oplysninger som f.eks. deres mors pigenavn. Problemet er, at denne type oplysninger let kan findes af svindlere, der gennemtrawler internetfora og sociale medieplatforme.
Sørg for, at dit system til inddrivelse af adgangskoder er robust og har tilhørende sikkerhedsmekanismer, der forhindrer udnyttelse. Se OWASP's forslag til robust adgangskodegenoprettelse.
Mist ikke adgangskoder på grund af usikre forbindelser
En adgangskode kan blive stjålet, hvis en person bruger en usikker internetforbindelse til at logge ind på en konto. Denne almindelige metode bruges til at stjæle data, herunder adgangskoder, når folk bruger offentlige internetforbindelser. Hvis dine medarbejdere arbejder eksternt og måske bruger offentligt internet, skal du sikre, at medarbejderne kun opretter forbindelse ved hjælp af et sikkert websted, dvs. HTTPS eller en VPN.
Oplys brugerne om farerne ved ordbogsangreb
Opmuntre brugerne til ikke at bruge almindelige ord, når de opretter en adgangskode. Desværre har folk en tendens til at bruge kendte ord som adgangskoder: Dette faktum udnyttes i "ordbogsangreb", hvor ondsindede programmer forsøger at hacke sig ind på en konto ved hjælp af almindelige adgangskoder og ord.
Undervis brugerne ved hjælp af Security Awareness Training om taktikker som denne og flere andre, der bruges til at hacke adgangskoder.
