Adgangskoder har været en grundpille i sikkerheden, siden menneskets sprog udviklede sig. Denne fælles hemmelighed kan bruges til at åbne både fysiske og digitale døre. Men som alle andre hemmeligheder kan den bruges til skadelige handlinger, hvis den afsløres til den forkerte person.
Adgangskoder giver cyberkriminelle en måde at komme forbi gatekeeperen på. Denne port er åben på vid gab, hvis en adgangskode er usikker, delt eller phished. Håndtering af adgangskoder er med til at mindske risikoen i en organisation.
Her er et kig på nogle af de risici, der er forbundet med brugen af adgangskoder, og tips til at administrere adgangskoder.
Problemet med adgangskoder
Adgangskoder er vedvarende, fordi brugerne forstår dem; de forstås af web- og app-udviklere og giver grundlæggende sikkerhed. Adgangskoder vil blive ved med at eksistere af disse grunde, selv med initiativer som f.eks. det adgangskodefri system FIDO.
En sikker adgangskode er det mest grundlæggende login-oplysninger, men adgangskoder er langt fra en robust sikkerhedsforanstaltning. På grund af de døre, som en adgangskode kan åbne, er denne legitimationsoplysninger blevet et fokuspunkt for cyberangreb. I 2022 Data Breach Investigations Report (DBIR ) blev tyveri af legitimationsoplysninger identificeret som en af de fire mest anvendte metoder til at bryde ind i data.
I 2022 Annual Identity Exposure Report blev der identificeret nogle forbløffende statistikker om adgangskoder:
● 1,7 milliarder legitimationsoplysninger (kombinationer af e-mailadresse og adgangskode eller brugernavn og adgangskode) blev udnyttet af hackere i 2021
● 70 % af brugerne brugte stadig kompromitterede adgangskoder et år senere
● Det hyppigst genbrugte kodeord i klartekst (dvs. ukrypteret) var "password
● 60 % af brugerne genbruger adgangskoder. En Google-undersøgelse viste, at 52 % genbruger adgangskoder på tværs af flere konti.
● Kun 20 % af brugerne har en password manager
Omkostningerne ved eksponering af adgangskoder, tyveri og uautoriseret adgang er store. I rapporten 2022 Ponemon Institute Cost of Insider Threats blev det konstateret, at:
● Omkostningerne ved tyveri af legitimationsoplysninger steg med 65 % fra 2,79 millioner dollars i 2020 til 4,6 millioner dollars i 2021/2022
● Det tager ca. 85 dage at inddæmme en insidertrussel
● Hændelser, der tog mere end 90 dage at inddæmme, kostede i gennemsnit 17,19 millioner dollars
Hvordan adgangskoder havner i hænderne på cyberkriminelle
Nogle af de mest typiske måder, hvorpå adgangskoder bliver stjålet eller kompromitteret, er:
Malware-infektion
Malware, der er designet til at stjæle data, sender alle kombinationer af adgangskode/brugernavn/email, som brugeren indtaster, til de cyberkriminelle, der kontrollerer malwaren.
En SpyCloud-rapport viste, at i 2021 blev "RedLine Stealer"-malware i vid udstrækning brugt til at stjæle legitimationsoplysninger og andre data fra Windows-brugere. Malwaren kunne købes på et mørkt websted for 800 dollars eller et malware-as-a-service-abonnement for 200 dollars om måneden.
Hvad er et databrud? MetaCompliance
Databrud giver cyberkriminelle mulighed for at få adgang til stjålne adgangskoder og brugernavne eller e-mailpar, dvs. loginoplysninger. For eksempel afslørede Collection 1-5-databruddet i 2019 2,2 milliarder adgangskoder og e-mailadresser.
Databrud opstår typisk via uautoriseret adgang til en database, en sikkerhedsfejlkonfiguration, der gør databasen sårbar, utilsigtet eksponering ved fejllevering af e-mail eller bevidst hacking. I en cyklus af cyberkriminalitet frigiver en kompromitteret database derefter flere loginoplysninger til at udføre yderligere angreb.
Phishing
En populær måde at stjæle adgangskoder på er phishing. I DBIR 2022 blev phishing faktisk nævnt som en af de fire mest udbredte metoder til at få adgang til login-oplysninger ved databrud. Spear-phishing er et særligt problem for systemadministratorer og privilegerede brugere, der er målrettet efter deres privilegerede adgangsoplysninger.
Tredjepartsleverandører er mål for hackere i passwordrelaterede angreb. I forbindelse med Colonial Pipeline ransomware-angrebet i 2021 blev et enkelt stjålet kodeord fra en tidligere ansat f.eks. knyttet til angrebet, som medførte, at halvdelen af USA's brændstofforsyninger midlertidigt blev lukket.
Utilsigtet eksponering og insidertrusler
Medarbejdere kan lide at dele adgangskoder med kolleger og genbruge dem. En nylig undersøgelse viste, at næsten 42 % af medarbejderne deler adgangskoder med kolleger. Den samme undersøgelse viste, at 1 ud af 4 medarbejdere stadig havde adgang til gamle konti, selv efter at de havde forladt virksomheden.
Uheldig eksponering af adgangskoder eller uautoriseret adgang er en væsentlig årsag til cyberangreb og databrud, idet DBIR 2022 viser, at 82 % af angrebene involverer et menneske.
Fem hurtige tips til at administrere adgangskoder
Her er fem tips til at administrere adgangskoder og reducere risikoen:
Opsætning og håndhævelse af adgangskodepolitikker
Adgangskodepolitikker er det første skridt til at mindske risikoen ved brug af adgangskoder. Adgangskodepolitikker omfatter alt, hvad der er forbundet med håndtering af adgangskoder og sikring af adgangskoder. En politik bør f.eks. omfatte sikker opbevaring af adgangskoder, og hvor ofte en adgangskode skal ændres.
Politikker for adgangskoder bør også klart angive, hvordan medarbejderne skal oprette og administrere adgangskoder. Politikkerne bør distribueres til medarbejderne, og forvaltningen af politikken bør automatiseres i hele politikens livscyklus for at sikre, at den accepteres og forstås i hele virksomheden.
Brug en adgangskodeadministrator
Adgangskodeadministratorer som Lastpass og adgangskodegeneratorer reducerer træthed i adgangskoderne og kan derfor hjælpe med at eliminere genbrug og deling af adgangskoder. Hvis du bruger en adgangskodeadministrator, behøver du teknisk set kun at huske ét sæt legitimationsoplysninger - hovedadgangskoden til at logge ind på din adgangskodeadministrator.
Når du er logget ind på password manager med din hovedadgangskode, klarer password manager resten - gemmer, genererer, synkroniserer og opdaterer passwords. Din hovedadgangskode bruges til at kryptere de gemte adgangskoder i din adgangskodeboks.
Men password managers er stadig underudnyttet i virksomhederne. Der findes mange adgangskodeadministratorer, men cloud-baserede tjenester kan være nemmere at implementere og administrere. Kig efter en password manager, der også kan fungere på tværs af operativsystemer og beskytter andre datatyper, herunder passwords.
Brug en anden faktor (2FA/MFA)
Brug af en anden faktor, f.eks. en mobil autentificeringskode, er en nyttig måde at tilføje endnu et lag sikkerhed til adgangen til et program på. Du bør dog ikke stole på, at 2FA giver 100 % risikofri adgangskontrol.
Cyberkriminelle arbejder allerede på måder at omgå anden faktor-autentificering på. Hvis du kan, skal du implementere 2FA, men du skal bakke denne foranstaltning op med vores følgende to tips til at mindske risikoen ved adgangskoder:
Uddan medarbejderne om password-hygiejne
Politikker for adgangskoder bør afspejle standarderne i cybersikkerhedsbranchen for oprettelse, brug og administration af adgangskoder. Men håndhævelsen af denne politik kræver, at medarbejderne forstår, hvorfor sikre adgangskoder er vigtige.
Uddannelsesprogrammer for bevidsthed om cybersikkerhed omfatter typisk moduler om oprettelse af stærke adgangskoder og om at holde adgangskoderne sikre.
Brug phishing-simuleringer til at reducere tyveri af adgangskoder
Phishing er en af de vigtigste metoder til at stjæle adgangskoder og andre legitimationsoplysninger. Ved at uddanne medarbejderne i, hvordan phishing fungerer, og hvordan de afslørende tegn på en phishingbesked ser ud, kan en virksomhed hjælpe med at forhindre tyveri af legitimationsoplysninger via phishing.
Phishing-simuleringsplatforme tilbyder en centraliseret og konfigurerbar måde at sende simulerede phishing-meddelelser til personalet på. En avanceret platform til simuleret phishing giver dig også mulighed for at skræddersy de simulerede phishing-beskeder til at afspejle de forskellige roller i din virksomhed.
Organisationer vil sandsynligvis fortsætte med at bruge adgangskoder i et stykke tid endnu, hvilket øger risikoen for cyberangreb. Men ved at anvende de fem tips, der er beskrevet her, kan du mindske risikoen for dine medarbejderes brug af adgangskoder. Disse tips er med til at forhindre databrud og ransomware-infektioner og hjælper din virksomhed med at overholde databeskyttelsesreglerne.