Lösenord har varit en grundpelare i säkerheten sedan människans språk utvecklades. Denna gemensamma hemlighet kan användas för att öppna både fysiska och digitala dörrar. Men precis som alla andra hemligheter kan den användas för att begå skadliga handlingar om den avslöjas för fel person.
Lösenord ger cyberkriminella ett sätt att ta sig förbi portvakten. Den porten är vidöppen om lösenordet är osäkert, delat eller förfalskat. Hantering av lösenord bidrar till att minska riskerna i en organisation.
Här är några av riskerna med att använda lösenord och tips om hur du hanterar lösenord.
Problemet med lösenord
Lösenord är beständiga eftersom användarna förstår dem; de förstås av webb- och apputvecklare och erbjuder grundläggande säkerhet. Lösenord kommer att finnas kvar av dessa skäl, även med initiativ som det lösenordsfria systemet FIDO.
Ett säkert lösenord är den mest grundläggande inloggningsinformationen, men lösenord är långt ifrån en robust säkerhetsåtgärd. På grund av de dörrar som ett lösenord kan öppna har detta lösenord blivit ett fokus för cyberattacker. I 2022 års rapport om utredningar om dataintrång (Data Breach Investigations Report, DBIR ) anges att stöld av inloggningsuppgifter är en av de fyra vanligaste metoderna för dataintrång.
I 2022 Annual Identity Exposure Report finns en del häpnadsväckande statistik om lösenord:
● 1,7 miljarder autentiseringsuppgifter (kombinationer av e-postadress och lösenord eller användarnamn och lösenord) utnyttjades av hackare under 2021.
● 70 % av användarna använde fortfarande komprometterade lösenord ett år senare.
● Det vanligaste återanvända lösenordet i klartext (dvs. okrypterat) var "password".
● 60 % av användarna återanvänder lösenord. En Google-undersökning visade att 52 % återanvänder lösenord för flera konton.
● Endast 20 % av användarna har en lösenordshanterare
Kostnaderna för exponering av lösenord, stöld och obehörig åtkomst är höga. I Ponemon Institute Cost of Insider Threats-rapporten från 2022 konstaterades följande:
● Kostnaderna för stöld av referenser ökade med 65 % från 2,79 miljoner dollar år 2020 till 4,6 miljoner dollar år 2021/2022.
● Det tar cirka 85 dagar att hantera ett insiderhot.
● Incidenter som tog mer än 90 dagar att begränsa kostade i genomsnitt 17,19 miljoner dollar.
Hur lösenord hamnar i händerna på cyberkriminella
Några av de vanligaste sätten som lösenord stjäls eller äventyras på är:
Infektion av skadlig programvara
Skadlig programvara som är utformad för att stjäla data skickar alla kombinationer av lösenord/användarnamn/e-postadress som användaren anger till de cyberkriminella som kontrollerar den skadliga programvaran.
En SpyCloud-rapport visar att under 2021 användes skadlig kod "RedLine Stealer" i stor utsträckning för att stjäla inloggningsuppgifter och andra data från Windows-användare. Det skadliga programmet kunde köpas på en mörk webbplats för 800 dollar eller en prenumeration på skadlig kod som tjänst för 200 dollar i månaden.
Vad är dataintrång (data breach)? MetaCompliance
Databrott ger cyberkriminella tillgång till stulna lösenord och användarnamn eller e-postpar, dvs. inloggningsuppgifter. Till exempel avslöjades 2,2 miljarder lösenord och e-postadresser i samband med dataintrånget Collection 1-5 år 2019.
Dataintrång sker vanligtvis genom obehörig åtkomst till en databas, en säkerhetsfelkonfiguration som gör databasen sårbar, oavsiktlig exponering genom felaktig e-postleverans eller avsiktlig hackning. I en cykel av cyberbrottslighet släpper en komprometterad databas sedan ut fler inloggningsuppgifter för att genomföra ytterligare attacker.
Phishing
Ett populärt sätt att stjäla lösenord är phishing. I DBIR från 2022 anges phishing som en av de fyra vanligaste metoderna för att få tillgång till inloggningsuppgifter vid dataintrång. Spear-phishing är ett särskilt problem för systemadministratörer och privilegierade användare som är måltavlor för sina privilegierade inloggningsuppgifter.
Tredjepartsleverantörer är måltavlor för hackare i lösenordsrelaterade attacker. I fallet med Colonial Pipeline ransomware-attacken 2021 var till exempel ett enda stulet lösenord från en före detta anställd kopplat till attacken som ledde till att hälften av USA:s bränsleförsörjning tillfälligt stängdes.
Oavsiktlig exponering och insiderhot
Anställda delar gärna lösenord med kollegor och återanvänder dem. En nyligen genomförd undersökning visade att nästan 42 % av de anställda delar lösenord med sina kollegor. Samma undersökning visade att 1 av 4 anställda fortfarande hade tillgång till gamla konton även efter att de lämnat företaget.
Oavsiktlig exponering av lösenord eller obehörig åtkomst är en viktig orsak till cyberattacker och dataintrång, och i DBIR 2022 konstateras att 82 % av attackerna involverar en människa.
Fem snabba tips för att hantera lösenord
Här är fem tips för att hantera lösenord och minska riskerna:
Konfigurera och tillämpa lösenordsprinciper
Lösenordspolicyer är det första steget för att minska riskerna med användningen av lösenord. Lösenordspolicyn omfattar allt som har att göra med hantering av lösenord och säker hantering av lösenord. En policy bör till exempel omfatta säker förvaring av lösenord och hur ofta ett lösenord måste ändras.
Lösenordspolicyn bör också tydligt ange hur de anställda ska skapa och hantera lösenord. Policyn bör delas ut till de anställda och hanteringen av policyn bör automatiseras under hela dess livscykel för att säkerställa att den accepteras och förstås i hela verksamheten.
Använd en lösenordshanterare
Lösenordshanterare som Lastpass och lösenordsgeneratorer minskar lösenordströttheten och kan därför bidra till att förhindra återanvändning och delning av lösenord. Om du använder en lösenordshanterare behöver du tekniskt sett bara komma ihåg en uppsättning autentiseringsuppgifter - huvudlösenordet för att logga in på din lösenordshanterare.
När du har loggat in på lösenordshanteraren med ditt huvudlösenord gör lösenordshanteraren resten - lagrar, genererar, synkroniserar och uppdaterar lösenord. Ditt huvudlösenord används för att kryptera de lagrade lösenorden i ditt lösenordsvalv.
Men lösenordshanterare är fortfarande underutnyttjade i företag. Det finns många lösenordshanterare, men molnbaserade tjänster kan vara enklare att installera och administrera. Leta efter en lösenordshanterare som också kan fungera i flera operativsystem och som skyddar andra datatyper, inklusive lösenord.
Använd en andra faktor (2FA/MFA)
Att använda en andra faktor, t.ex. en mobil autentiseringskod, är ett användbart sätt att lägga till ytterligare ett säkerhetslager för att få tillgång till en applikation. Du bör dock inte förlita dig på att 2FA erbjuder 100 % riskfri åtkomstkontroll.
Cyberkriminella arbetar redan på sätt att kringgå andrafaktorsautentisering. Om du kan, implementera 2FA, men stöd denna åtgärd med följande två tips för att minska risken för lösenord:
Utbilda anställda i lösenordshygien
Lösenordspolicyn bör återspegla industristandarderna för cybersäkerhet när det gäller att skapa, använda och hantera lösenord. För att kunna tillämpa denna policy krävs dock att de anställda förstår varför säkra lösenord är viktiga.
Utbildningsprogram för medvetenhet om cybersäkerhet innehåller vanligtvis moduler om att skapa starka lösenord och hålla lösenord säkra.
Använd simuleringar av nätfiske för att minska antalet lösenordsstölder
Phishing är en av de vanligaste metoderna för att stjäla lösenord och andra uppgifter. Genom att utbilda de anställda i hur nätfiske fungerar och vad som är kännetecknande för ett nätfiskemeddelande kan ett företag hjälpa till att förhindra stöld av uppgifter via nätfiske.
Simuleringsplattformar för nätfiske erbjuder ett centraliserat och konfigurerbart sätt att skicka ut simulerade nätfiskemeddelanden till personalen. En avancerad plattform för simulerad phishing gör det också möjligt att skräddarsy de simulerade phishingmeddelandena så att de återspeglar de olika rollerna i företaget.
Organisationer kommer troligen att fortsätta att använda lösenord ett tag till, vilket ökar risken för cyberattacker. Genom att tillämpa de fem tips som beskrivs här kan du dock minska risken för att dina anställda använder lösenord. Dessa tips bidrar till att förhindra dataintrång och infektion med utpressningstrojaner och hjälper ditt företag att följa dataskyddsbestämmelserna.