Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Cybersikkerhed adfærdsmæssig modenhedsmodel

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

Lederskab

Mød MetaCompliance-ledelsesteamet

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Bedste praksis for adgangskodepolitik 2023

Bedste praksis for adgangskodepolitik 2021

om forfatteren

Del dette indlæg

En stærk passwordpolitik er ofte den første forsvarslinje mod cyberangreb, men mange organisationer fortsætter med at følge forældede retningslinjer, som udsætter dem for en betydelig risiko.

Ifølge Verizons 2020 Data Breach Investigations Report er tabte eller stjålne legitimationsoplysninger fortsat den hyppigste hackertaktik, som ondsindede aktører anvender til at begå databrud, og kompromitterede eller svage adgangskoder er ansvarlige for 35 % af alle brud.

Passwordsikkerhed har aldrig været vigtigere end nu, især fordi en stor del af arbejdsstyrken fortsat arbejder hjemmefra. Trusselsfladen er blevet større, så det er afgørende, at organisationer opdaterer deres passwordpolitik for at uddanne medarbejderne i, hvordan man opretter stærke passwords og sikrer et solidt forsvar mod cybertrusler.

Tidligere vejledning om passwordsikkerhed havde tendens til at fokusere på entydighed, kompleksitet, minimumslængde af password og regelmæssige passwordændringer; men de seneste råd er gået væk fra dette, da mange af disse passwordpraksisser faktisk kan få brugerne til at oprette svagere i stedet for stærkere passwords.

National Institute of Standards and Technology (NIST) har behandlet vigtigheden af passwordpolitikker ved at udstede NIST Special Publication 800-63B (Digital Identity Guidelines - Authentication and Lifecycle Management). Publikationen indeholder aktuelle råd til organisationer om, hvordan de kan forbedre autentificeringsprocessen og mindske risikoen for sikkerhedsbrud.

Microsoft og National Cyber Security Centre (NCSC) har også alle opdateret deres vejledning om adgangskoder for at hjælpe organisationer med at implementere adgangskodepolitikker, der kan beskytte mod nye trusler og understøtte de måder, som folk naturligt arbejder på.

For at sikre, at din adgangskodepolitik er effektiv og opfylder de standarder, der anbefales af NIST, Microsoft og NCSC, har vi samlet alle de seneste retningslinjer i praktisk anvendelige råd, som din organisation kan bruge til at forbedre adgangskodebeskyttelsen.

Bedste praksis for adgangskodepolitik

Forøg passwordlængden og reducer fokus på passwordkompleksitet

Adgangskodepolitik - længde vs. kompleksitet

Tidligere har råd om passwordsikkerhed fokuseret meget på at oprette komplekse passwords, men dette fører ofte til genbrug af eksisterende passwords med mindre ændringer. Ifølge det nationale cybersikkerhedsråd: "Kompleksitetskravene lægger en ekstra byrde på brugerne, hvoraf mange vil bruge forudsigelige mønstre (f.eks. ved at erstatte bogstavet "o" med et nul eller bruge specialtegn) for at opfylde de krævede "kompleksitetskriterier".

Angribere kender disse strategier og bruger denne viden til at optimere deres angreb." Passwordlængden er ofte en langt vigtigere faktor, da et længere password statistisk set er sværere at knække. NIST og Microsoft anbefaler en minimumslængde på 8 tegn for en brugergenereret adgangskode, og for at øge sikkerheden for mere følsomme konti anbefaler NIST, at organisationer sætter den maksimale adgangskode-længde til 64 tegn. Dette giver mulighed for brug af adgangsfraser. En passphrase er en adgangskode, der består af en sætning eller en kombination af ord. Det hjælper brugerne med at huske længere adgangskoder og gør det sværere for hackere at gætte dem ved hjælp af brute force.

Screening af adgangskoder mod sortlister

Genbrug af adgangskoder er et almindeligt problem, og ifølge en Google/Harris-undersøgelse genbruger 52 % af brugerne den samme adgangskode på tværs af flere konti. Denne risikable adfærd har ført til en voldsom stigning i antallet af angreb med falske legitimationsoplysninger, idet hackere forsøger at tjene penge på de milliarder af kompromitterede legitimationsoplysninger, der kan købes på det mørke net. Ved hjælp af disse stjålne legitimationsoplysninger kan hackere forsøge at få adgang til flere brugerkonti ved hjælp af den samme kompromitterede adgangskode.

For at bekæmpe denne trussel anbefaler NIST, at organisationer anvender software, der screener adgangskoder mod en sortliste, som indeholder ordbogsord, gentagne eller sekventielle strenge, adgangskoder, der er stjålet i forbindelse med tidligere brud, almindeligt anvendte adgangssætninger eller andre ord og mønstre, som hackere kan gætte. Denne screeningsproces hjælper brugerne med at undgå at vælge adgangskoder, der udgør en risiko for sikkerheden, og den giver et signal, hvis en tidligere sikker adgangskode bliver afsløret i fremtiden.

Eliminér regelmæssige nulstillinger af adgangskoder

Adgangskodepolitik - nulstilling af adgangskoder

Mange organisationer kræver, at deres medarbejdere skifter deres adgangskoder med jævne mellemrum, ofte hver 30., 60. eller 90. dag. Nyere undersøgelser har imidlertid vist, at denne tilgang til passwordsikkerhed ofte er kontraproduktiv og faktisk kan forværre sikkerheden. Brugerne har typisk flere adgangskoder, som de skal huske, så når de er tvunget til at foretage en periodisk nulstilling, vil de ty til forudsigelige adfærdsmønstre som f.eks. at vælge en ny adgangskode, der kun er en mindre variation af den gamle.

De kan opdatere den ved at ændre et enkelt tegn eller tilføje et symbol, der ligner et bogstav (f.eks. ! i stedet for I). Hvis en angriber allerede kender brugerens eksisterende adgangskode, vil det ikke være så svært at knække den opdaterede version. NIST anbefaler, at dette krav fjernes for at gøre adgangskode-sikkerheden mere brugervenlig, og Microsoft anbefaler det: "Hvis en adgangskode aldrig bliver stjålet, er der ingen grund til at udløbe den. Og hvis du har beviser for, at en adgangskode er blevet stjålet, vil du formentlig handle med det samme i stedet for at vente på udløbsdatoen for at løse problemet."

Tillad kopiering og indsættelse af adgangskode

NIST har revideret sin tidligere vejledning og anbefaler nu, at man bruger "kopier og indsæt", når man indtaster en adgangskode. Dette er med til at fremme brugen af adgangskodeadministratorer, hvilket utvivlsomt øger sikkerheden ved at give brugerne mulighed for at generere længere adgangskoder, som er sværere at knække.

Begræns adgangskodeforsøg

Ved hjælp af brute-force-angreb kan hackere forsøge at bryde ind på en konto ved systematisk at logge ind og prøve alle mulige kombinationer af bogstaver, tal og symboler, indtil de finder den rigtige adgangskodekombination. En af de bedste måder at forsvare sig mod denne type angreb på er at begrænse antallet af adgangskodeforsøg, som en enkelt IP-adresse kan foretage inden for en bestemt tidsramme.

Brug ikke adgangskodehenvisninger

Adgangskodehints bruges ofte af organisationer til at hjælpe deres brugere med at huske komplekse adgangskoder. Det kan være en simpel prompt, eller brugeren skal svare på et personligt spørgsmål som f.eks. "Hvilken by er du født i?" eller "Hvad hedder din første skole?". Svarene på mange af disse spørgsmål kan let findes på sociale medier af en målrettet angriber. Dette underminerer sikkerheden, og derfor har NIST rådet organisationer til at droppe denne praksis, da den potentielt kan øge risikoen for et brud.

Brug multifaktor-autentifikation

Adgangskodepolitik - MFA

Multifaktorgodkendelse (MFA ) er en af de mest effektive måder at give ekstra beskyttelse til en adgangskodebeskyttet konto på. Ifølge Microsoft er der mere end 99,9 % mindre sandsynlighed for, at konti bliver kompromitteret, hvis MFA er aktiveret. En nylig GetApp-undersøgelse viste imidlertid, at kun 55 % af de adspurgte bruger to-faktor-autentificering som standard til deres erhvervskonti og personlige konti, når den er tilgængelig.

Der er tre typer autentificering, der kan anvendes:

  • Noget, du ved: Et kodeord, en pinkode, et postnummer eller et svar på et spørgsmål (f.eks. moderens pigenavn).
  • Noget, du har: Et token, en telefon, et kreditkort, et SIM-kort eller en fysisk sikkerhedsnøgle.
  • Noget, du er: Biometriske data som f.eks. et fingeraftryk, stemme eller ansigtsgenkendelse.

Nogle af disse verifikationsmetoder er uden tvivl mere sikre end andre, men i bund og grund betyder det, at selv hvis nogen stjæler eller gætter en adgangskode, vil de ikke kunne få adgang til kontoen uden en anden godkendelsesfaktor.

Uddannelse af personale i bedste praksis for adgangskoder

Der er mange modstridende råd om, hvad der udgør en sikker adgangskode, så det er afgørende, at dine medarbejdere forstår bedste praksis og er fuldt ud informeret om, hvad din adgangskodepolitik kræver af dem. Undervisning i sikkerhedsbevidsthed bør uddanne personalet i følgende:

  • Risici ved at genbruge de samme adgangskoder på tværs af private og erhvervsmæssige konti
  • Sådan opretter du stærke og sikre adgangskoder
  • Sådan aktiverer du MFA
  • Sådan bruger du en automatiseret adgangskodeadministrator til at gemme adgangskoder sikkert
Cyber Security Awareness for Dummies

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante