Här är en titt på det enkla lösenordet och några sätt att förbättra lösenordssäkerheten.
Oavsett om du älskar eller hatar dem spelar lösenordet en viktig roll i vårt dagliga arbetsliv. Lösenordet har blivit det vanligaste sättet att logga in i en företagsapp och de flesta onlinekonton är lösenordsbaserade. Även med MFA(multi-faktorautentisering) och biometrisk autentisering är lösenordet fortfarande den första faktorn.
Anledningen till att lösenordet är så populärt är att det är enkelt för människor att använda och för utvecklare att implementera. Men tyvärr har lösenordet många akilleshälar, och cyberkriminella utnyttjar lösenordets sårbarhet fullt ut.
Vad är lösenordssäkerhet?
Lösenordssäkerhet är en grundläggande del av säkerheten på arbetsplatsen. Men lösenord utnyttjas, missbrukas och missbrukas regelbundet. En del häpnadsväckande statistik visar hur illa det har gått med lösenordssäkerheten under de senaste åren:
Hur många lösenord stjäls?
- Cyberkriminella utnyttjade 1,7 miljarder inloggningsuppgifter (inklusive lösenord) under 2021.(Spycloud-undersökning)
Hur osäkra är lösenord?
- Det vanligaste återanvända okrypterade lösenordet var "password"(Spycloud-undersökning).
- 45 % av användarna ändrar inte sina lösenord efter ett intrång.(LastPass-studie)
Hur missbrukas lösenord?
- 60 % av användarna återanvänder lösenord.(Spycloud-undersökning)
- 84 % använder samma lösenord för flera konton.(Bitwarden-undersökning)
Vikten av lösenordssäkerhet
Lösenord är sårbara för phishing-attacker: en undersökning från Hypr 2022 visade att 89 % av företagen upplevde en phishing-attack under 2021. Forskning om hur effektivt nätfiske är har visat att 32 % av de anställda klickar på en nätfiske-länk. Mänskliga fel, som bland annat innebär att lösenord delas och att svaga lösenord används, ligger bakom 95 % av cyberattackerna, enligt undersökningen "IBM Threat Intelligence".
Att förbättra lösenordssäkerheten är ett grundläggande sätt för en organisation att förbättra sin säkerhetsställning. Fokusera därför på säkra lösenordspraxis för att snabbt höja organisationens risknivå.
Här är tio bästa metoder för att förbättra lösenordssäkerheten och minska sannolikheten för en cyberattack.
Tio topptips för att hålla dina lösenord starka och säkra
Dela inte med dig av dem!
Anställda delar lösenord. En undersökning från Yubico och Ponemon visade att 49 % av IT-sägarna och 51 % av de anställda delar lösenord med kollegor för att få tillgång till företagskonton.
Att dela lösenord innebär att dessa lösenord är utom kontroll för din organisation. Kontroll är avgörande för att upprätthålla säkerheten. Se till att dina säkerhetsprinciper och -rutiner visar att en anställd inte får dela med sig av lösenord. Det är viktigt att utbilda alla anställda om vikten av att inte dela med sig av lösenord.
Använd inte samma lösenord för olika konton
Anställda kan ha många lösenord att komma ihåg; som nämnts ovan erkänner 60 % av de anställda att de återanvänder lösenord för flera konton. Avråda de anställda från att använda samma lösenord genom att ge dem mekanismer för att förhindra detta. Dessa mekanismer kan omfatta Single Sign On (SSO) över relaterade konton och en lösenordshanterare.
Använd en lösenordshanterare
I vårt inlägg "Why You Need A Password Manager" skriver MetaCompliance att en genomsnittlig person måste komma ihåg mellan 70-80 lösenord. Även de som har ett otroligt bra minne skulle ha svårt att komma ihåg så många lösenord.
För att underlätta för de anställda kan ditt företag ge dem en lösenordshanterare. En lösenordshanterare är ett digitalt valv som lagrar, säkrar och presenterar ett lösenord när en användare loggar in, så att de inte behöver komma ihåg lösenordet.
Skriv inte ner lösenord på skrivbordet!
En dålig vana är att skriva ner lösenord på ett papper: de är potentiellt farliga, särskilt i en arbetsmiljö, eftersom vem som helst kan kopiera lösenordet och använda det för att logga in på den anställdes konton. Om en anställd använder samma lösenord för många konton kan det också leda till att flera konton exponeras.
Ge aldrig ut lösenord om du blir tillfrågad
Se till att de anställda förstår hur social ingenjörskonst fungerar. Använd utbildning i säkerhetsmedvetenhet för att betona hur bedragare lurar dem att lämna ut personlig information, inklusive lösenord.
Gör lösenord svåra att gissa
Det mest populära lösenordet är 123456. Detta gör det lätt för en cyberkriminell att göra sitt jobb. Lösenordssäkerheten förbättras genom att man tvingar fram användning av lösenord som är svåra att gissa. Skapa dessutom en lösenordspolicy som uppmuntrar användningen av mer komplexa lösenord. Det amerikanska standardiseringsorganet NIST ger regelbundet uppdateringar om de mest robusta lösenordsprinciperna.
Ändra lösenord om du är osäker
Säkerhetspolicyn bör se till att anställda byter lösenord om de tror att de har blivit utsatta för nätfiske. Obligatoriska lösenordsuppdateringar varje vecka eller månad kan dock ofta leda till dålig lösenordshygien. Om människor tvingas byta lösenord tenderar de att använda mindre robusta uppdaterade lösenord - kanske genom att lägga till en siffra i slutet: "password" blir "password12".
Gör frågor om lösenordsåterställning svårare
Lösenordsåterställning är ofta ett mål för cyberbrottslingar; metoder som används för att återskapa lösenord kräver att användarna anger uppgifter som t.ex. sin mors flicknamn. Problemet är att denna typ av information lätt kan hittas av bedragare som letar på internetforum och sociala medier.
Se till att ditt system för återställning av lösenord är robust och har tillhörande säkerhetsmekanismer för att förhindra utnyttjande. Ta del av OWASP:s förslag för robust lösenordsåterställning.
Förlora inte lösenord på grund av osäkra anslutningar
Ett lösenord kan stjälas om en person använder en osäker internetanslutning för att logga in på ett konto. Denna vanliga metod används för att stjäla uppgifter, inklusive lösenord, när människor använder offentliga internetanslutningar. Om dina anställda arbetar på distans och kan komma att använda offentligt internet, se till att de anställda endast ansluter sig via en säker webbplats, dvs. HTTPS eller en VPN.
Utbilda användarna om farorna med ordboksattacker
Uppmuntra användarna att inte använda vanliga ord när de skapar ett lösenord. Tyvärr tenderar människor att använda kända ord som lösenord: detta faktum utnyttjas i "ordboksattacker" som använder skadliga program för att försöka hacka sig in på ett konto med hjälp av vanliga lösenord och ord.
Utbilda användarna med hjälp av utbildning i säkerhetsmedvetenhet om taktik som denna och andra metoder som används för att hacka lösenord.
