En stærk passwordpolitik er ofte den første forsvarslinje mod cyberangreb, men mange organisationer fortsætter med at følge forældede retningslinjer, som udsætter dem for en betydelig risiko.
Ifølge Verizons 2020 Data Breach Investigations Report er tabte eller stjålne legitimationsoplysninger fortsat den hyppigste hackertaktik, som ondsindede aktører anvender til at begå databrud, og kompromitterede eller svage adgangskoder er ansvarlige for 35 % af alle brud.
Passwordsikkerhed har aldrig været vigtigere end nu, især fordi en stor del af arbejdsstyrken fortsat arbejder hjemmefra. Trusselsfladen er blevet større, så det er afgørende, at organisationer opdaterer deres passwordpolitik for at uddanne medarbejderne i, hvordan man opretter stærke passwords og sikrer et solidt forsvar mod cybertrusler.
Tidligere vejledning om passwordsikkerhed havde tendens til at fokusere på entydighed, kompleksitet, minimumslængde af password og regelmæssige passwordændringer; men de seneste råd er gået væk fra dette, da mange af disse passwordpraksisser faktisk kan få brugerne til at oprette svagere i stedet for stærkere passwords.
National Institute of Standards and Technology (NIST) har behandlet vigtigheden af passwordpolitikker ved at udstede NIST Special Publication 800-63B (Digital Identity Guidelines - Authentication and Lifecycle Management). Publikationen indeholder aktuelle råd til organisationer om, hvordan de kan forbedre autentificeringsprocessen og mindske risikoen for sikkerhedsbrud.
Microsoft og National Cyber Security Centre (NCSC) har også alle opdateret deres vejledning om adgangskoder for at hjælpe organisationer med at implementere adgangskodepolitikker, der kan beskytte mod nye trusler og understøtte de måder, som folk naturligt arbejder på.
For at sikre, at din adgangskodepolitik er effektiv og opfylder de standarder, der anbefales af NIST, Microsoft og NCSC, har vi samlet alle de seneste retningslinjer i praktisk anvendelige råd, som din organisation kan bruge til at forbedre adgangskodebeskyttelsen.
Bedste praksis for adgangskodepolitik
Forøg passwordlængden og reducer fokus på passwordkompleksitet
Tidligere har råd om passwordsikkerhed fokuseret meget på at oprette komplekse passwords, men dette fører ofte til genbrug af eksisterende passwords med mindre ændringer. Ifølge det nationale cybersikkerhedsråd: "Kompleksitetskravene lægger en ekstra byrde på brugerne, hvoraf mange vil bruge forudsigelige mønstre (f.eks. ved at erstatte bogstavet "o" med et nul eller bruge specialtegn) for at opfylde de krævede "kompleksitetskriterier".
Angribere kender disse strategier og bruger denne viden til at optimere deres angreb." Passwordlængden er ofte en langt vigtigere faktor, da et længere password statistisk set er sværere at knække. NIST og Microsoft anbefaler en minimumslængde på 8 tegn for en brugergenereret adgangskode, og for at øge sikkerheden for mere følsomme konti anbefaler NIST, at organisationer sætter den maksimale adgangskode-længde til 64 tegn. Dette giver mulighed for brug af adgangsfraser. En passphrase er en adgangskode, der består af en sætning eller en kombination af ord. Det hjælper brugerne med at huske længere adgangskoder og gør det sværere for hackere at gætte dem ved hjælp af brute force.
Screening af adgangskoder mod sortlister
Genbrug af adgangskoder er et almindeligt problem, og ifølge en Google/Harris-undersøgelse genbruger 52 % af brugerne den samme adgangskode på tværs af flere konti. Denne risikable adfærd har ført til en voldsom stigning i antallet af angreb med falske legitimationsoplysninger, idet hackere forsøger at tjene penge på de milliarder af kompromitterede legitimationsoplysninger, der kan købes på det mørke net. Ved hjælp af disse stjålne legitimationsoplysninger kan hackere forsøge at få adgang til flere brugerkonti ved hjælp af den samme kompromitterede adgangskode.
For at bekæmpe denne trussel anbefaler NIST, at organisationer anvender software, der screener adgangskoder mod en sortliste, som indeholder ordbogsord, gentagne eller sekventielle strenge, adgangskoder, der er stjålet i forbindelse med tidligere brud, almindeligt anvendte adgangssætninger eller andre ord og mønstre, som hackere kan gætte. Denne screeningsproces hjælper brugerne med at undgå at vælge adgangskoder, der udgør en risiko for sikkerheden, og den giver et signal, hvis en tidligere sikker adgangskode bliver afsløret i fremtiden.
Eliminér regelmæssige nulstillinger af adgangskoder
Mange organisationer kræver, at deres medarbejdere skifter deres adgangskoder med jævne mellemrum, ofte hver 30., 60. eller 90. dag. Nyere undersøgelser har imidlertid vist, at denne tilgang til passwordsikkerhed ofte er kontraproduktiv og faktisk kan forværre sikkerheden. Brugerne har typisk flere adgangskoder, som de skal huske, så når de er tvunget til at foretage en periodisk nulstilling, vil de ty til forudsigelige adfærdsmønstre som f.eks. at vælge en ny adgangskode, der kun er en mindre variation af den gamle.
De kan opdatere den ved at ændre et enkelt tegn eller tilføje et symbol, der ligner et bogstav (f.eks. ! i stedet for I). Hvis en angriber allerede kender brugerens eksisterende adgangskode, vil det ikke være så svært at knække den opdaterede version. NIST anbefaler, at dette krav fjernes for at gøre adgangskode-sikkerheden mere brugervenlig, og Microsoft anbefaler det: "Hvis en adgangskode aldrig bliver stjålet, er der ingen grund til at udløbe den. Og hvis du har beviser for, at en adgangskode er blevet stjålet, vil du formentlig handle med det samme i stedet for at vente på udløbsdatoen for at løse problemet."
Tillad kopiering og indsættelse af adgangskode
NIST har revideret sin tidligere vejledning og anbefaler nu, at man bruger "kopier og indsæt", når man indtaster en adgangskode. Dette er med til at fremme brugen af adgangskodeadministratorer, hvilket utvivlsomt øger sikkerheden ved at give brugerne mulighed for at generere længere adgangskoder, som er sværere at knække.
Begræns adgangskodeforsøg
Ved hjælp af brute-force-angreb kan hackere forsøge at bryde ind på en konto ved systematisk at logge ind og prøve alle mulige kombinationer af bogstaver, tal og symboler, indtil de finder den rigtige adgangskodekombination. En af de bedste måder at forsvare sig mod denne type angreb på er at begrænse antallet af adgangskodeforsøg, som en enkelt IP-adresse kan foretage inden for en bestemt tidsramme.
Brug ikke adgangskodehenvisninger
Adgangskodehints bruges ofte af organisationer til at hjælpe deres brugere med at huske komplekse adgangskoder. Det kan være en simpel prompt, eller brugeren skal svare på et personligt spørgsmål som f.eks. "Hvilken by er du født i?" eller "Hvad hedder din første skole?". Svarene på mange af disse spørgsmål kan let findes på sociale medier af en målrettet angriber. Dette underminerer sikkerheden, og derfor har NIST rådet organisationer til at droppe denne praksis, da den potentielt kan øge risikoen for et brud.
Brug multifaktor-autentifikation
Multifaktorgodkendelse (MFA ) er en af de mest effektive måder at give ekstra beskyttelse til en adgangskodebeskyttet konto på. Ifølge Microsoft er der mere end 99,9 % mindre sandsynlighed for, at konti bliver kompromitteret, hvis MFA er aktiveret. En nylig GetApp-undersøgelse viste imidlertid, at kun 55 % af de adspurgte bruger to-faktor-autentificering som standard til deres erhvervskonti og personlige konti, når den er tilgængelig.
Der er tre typer autentificering, der kan anvendes:
- Noget, du ved: Et kodeord, en pinkode, et postnummer eller et svar på et spørgsmål (f.eks. moderens pigenavn).
- Noget, du har: Et token, en telefon, et kreditkort, et SIM-kort eller en fysisk sikkerhedsnøgle.
- Noget, du er: Biometriske data som f.eks. et fingeraftryk, stemme eller ansigtsgenkendelse.
Nogle af disse verifikationsmetoder er uden tvivl mere sikre end andre, men i bund og grund betyder det, at selv hvis nogen stjæler eller gætter en adgangskode, vil de ikke kunne få adgang til kontoen uden en anden godkendelsesfaktor.
Uddannelse af personale i bedste praksis for adgangskoder
Der er mange modstridende råd om, hvad der udgør en sikker adgangskode, så det er afgørende, at dine medarbejdere forstår bedste praksis og er fuldt ud informeret om, hvad din adgangskodepolitik kræver af dem. Undervisning i sikkerhedsbevidsthed bør uddanne personalet i følgende:
- Risici ved at genbruge de samme adgangskoder på tværs af private og erhvervsmæssige konti
- Sådan opretter du stærke og sikre adgangskoder
- Sådan aktiverer du MFA
- Sådan bruger du en automatiseret adgangskodeadministrator til at gemme adgangskoder sikkert
