Tillbaka
Utbildning och programvara för cybersäkerhet för företag | MetaCompliance

Produkter

Upptäck vårt utbud av skräddarsydda lösningar för utbildning i säkerhetsmedvetenhet, utformade för att stärka och utbilda ditt team mot moderna cyberhot. Från policyhantering till phishing-simuleringar - vår plattform förser din personal med de kunskaper och färdigheter som behövs för att skydda din organisation.

Cyber security eLearning

Cyber Security eLearning för att utforska vårt prisbelönta eLearning-bibliotek, skräddarsytt för varje avdelning

Automatisering av säkerhetsmedvetenhet

Planera din årliga medvetenhetskampanj med några få klick

Simulering av nätfiske

Stoppa nätfiskeattacker i deras spår med prisbelönt programvara för nätfiske

Förvaltning av politik

Samla dina policyer på ett ställe och hantera policyernas livscykler på ett enkelt sätt

Förvaltning av sekretess

Kontrollera, övervaka och hantera efterlevnad med enkelhet

Hantering av incidenter

Ta kontroll över interna incidenter och åtgärda det som är viktigt

Tillbaka
Industri

Industrier

Utforska mångsidigheten hos våra lösningar inom olika branscher. Från den dynamiska tekniksektorn till sjukvården - ta del av hur våra lösningar skapar vågor i flera sektorer. 


Finansiella tjänster

Skapa en första försvarslinje för organisationer inom finansiella tjänster

Regeringar

En Go-To-lösning för säkerhetsmedvetenhet för myndigheter

Företag

En lösning för utbildning i säkerhetsmedvetande för stora företag

Arbetstagare på distans

Skapa en kultur av säkerhetsmedvetenhet - även i hemmet

Utbildningssektorn

Engagerande utbildning i säkerhetsmedvetenhet för utbildningssektorn

Arbetstagare inom hälso- och sjukvården

Se vår skräddarsydda säkerhetsmedvetenhet för anställda inom hälso- och sjukvården

Teknikindustrin

Förändrad utbildning i säkerhetsmedvetenhet inom teknikindustrin

Överensstämmelse med NIS2

Stöd era krav på efterlevnad av Nis2 med initiativ för ökad medvetenhet om cybersäkerhet

Tillbaka
Resurser

Resurser

Från affischer och policyer till ultimata guider och fallstudier, våra kostnadsfria medvetenhetstillgångar kan användas för att förbättra medvetenheten om cybersäkerhet inom din organisation.

Medvetenhet om cybersäkerhet för Dummies

En oumbärlig resurs för att skapa en kultur av cybermedvetenhet

Dummies guide till cybersäkerhet Elearning

Den ultimata guiden för att implementera effektiv cybersäkerhet Elearning

Ultimat guide till nätfiske

Utbilda medarbetarna i hur man upptäcker och förhindrar nätfiskeattacker

Gratis affischer för medvetenhet

Ladda ner dessa kostnadsfria affischer för att öka medarbetarnas vaksamhet

Policy mot nätfiske

Skapa en säkerhetsmedveten kultur och öka medvetenheten om hot mot cybersäkerheten

Fallstudier

Hör hur vi hjälper våra kunder att skapa positiva beteenden i sina organisationer

Terminologi för cybersäkerhet A-Z

En ordlista över termer inom cybersäkerhet som du måste känna till

Cybersäkerhet beteende mognadsmodell

Granska din utbildning i medvetenhet och jämför din organisation med bästa praxis

Gratis saker

Ladda ner våra kostnadsfria verktyg för att förbättra medvetenheten om cybersäkerhet i din organisation

Tillbaka
MetaCompliance | Utbildning och programvara för cybersäkerhet för anställda

Om

Med 18+ års erfarenhet av marknaden för cybersäkerhet och efterlevnad erbjuder MetaCompliance en innovativ lösning för personalens medvetenhet om informationssäkerhet och automatisering av incidenthantering. MetaCompliance-plattformen skapades för att möta kundernas behov av en enda, heltäckande lösning för att hantera de mänskliga riskerna kring cybersäkerhet, dataskydd och efterlevnad.

Varför välja oss

Lär dig varför Metacompliance är den betrodda partnern för utbildning i säkerhetsmedvetenhet

Specialister på medarbetarengagemang

Vi gör det enklare att engagera medarbetarna och skapa en kultur av cybermedvetenhet

Automatisering av säkerhetsmedvetenhet

Automatisera utbildning i säkerhetsmedvetenhet, nätfiske och policyer på några minuter

Ledarskap

Möt MetaCompliance Leadership Team

MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

Hashfunktioners roll i lösenordssäkerhet

Hashfunktioners roll i lösenordssäkerhet

om författaren

Dela detta inlägg

Hashfunktioner spelar en avgörande roll i lösenordssäkerheten för säkra webbtjänster. Dessa tjänster lagrar aldrig ditt faktiska lösenord utan istället en hashad version av det. Hashfunktioner är algoritmer som omvandlar indata (t.ex. ett lösenord) till en teckensträng av fast storlek. Denna process är irreversibel, vilket innebär att det är nästan omöjligt att härleda den ursprungliga inmatningen från hashen. När du loggar in hashar tjänsten det lösenord du anger och jämför det med den lagrade hashen. På så sätt kan hackare inte komma åt lösenord i klartext, även om ett dataintrång inträffar, vilket förbättrar den övergripande säkerheten.

En enkel inloggningsprocedur

Låt oss först titta på hur en enkel inloggningsprocedur skulle se ut. Vi loggar in på en webbtjänst på vanligt sätt med ett kontonamn och lösenord:

Inmatningsfält för inloggningsuppgifter

Vår enkla webbtjänst har en tabell i sin databas med alla kontonamn och tillhörande lösenord:

Databas med användarnamn och lösenord

Webbtjänsten letar först upp kontonamnet från det ifyllda inloggningsformuläret i sin databas. Om namnet finns i databasen jämför tjänsten också lösenordet från inloggningsformuläret med det tillhörande lösenordet i databasen. Om lösenorden matchar varandra genomförs registreringen. I annat fall nekas registreringen. Vid första anblicken är detta ett säkert inloggningsförfarande. Endast den som har ett giltigt kontonamn och känner till det tillhörande lösenordet kan få tillgång till det aktuella kontot. Alla andra nekas tillträde. Så långt, så bra! Men vad är det egentligen som är så osofistikerat med det här förfarandet?

Problemet är att lösenorden lagras i en databas. Det innebär att de potentiellt är kända för alla som har tillgång till databasen, inklusive webbtjänstoperatörerna och deras anställda. Dessutom är det numera vanligt att många företag lägger ut den faktiska driften av de webbtjänster de erbjuder på amerikanska molntjänstleverantörer som Amazon Web Services eller Google Cloud. Därför kan vi anta att operatörerna och medarbetarna hos dessa molnleverantörer i princip också har tillgång till databasen och därmed till vårt lösenord. Dessutom kan brottslingar naturligtvis också få obehörig åtkomst till uppgifterna i databasen.

Dessutom är det ingen hemlighet att de flesta användare av webbtjänster återanvänder samma lösenord för flera tjänster. Den som har lyckats få tag på lösenordet för en målpersons Facebook/Twitter-konto eller onlineresebyrå kommer därför, med lite tur, också att ha lösenordet för dennes e-post, internetbank, personliga organisation, en dejtingplattform och intranätet för det företag där målpersonen arbetar. Det ekonomiska incitamentet att stjäla lösenord från databasen för vilken webbtjänst som helst är motsvarande högt, även om denna webbtjänst i sig inte är ett lukrativt mål! Frågan är: Hur löser vi detta problem?

En mer sofistikerad inloggningsprocedur

Låt oss komma ihåg följande: Webbtjänsten som beskrivs ovan har en tabell i sin databas med alla kontonamn och tillhörande lösenord:

Lösenord och kontonamn i databasen

Vi anpassar denna tabell på följande sätt. Istället för att lagra lösenorden använder vi en valfri kryptografisk hashfunktion för lösenorden:

Kryptografisk hashfunktion

I stället för lösenorden lagrar vi sedan de resulterande hashvärdena i databasen:

Databas för kryptografiska hashvärden

Detta ändrar inloggningsförfarandet endast något. Vi loggar fortfarande in på vanligt sätt med ett kontonamn och lösenord:

Inmatningsfält för inloggningsuppgifter

Webbtjänsten letar först upp kontonamnet från det ifyllda inloggningsformuläret i sin databas igen. Men i nästa steg skiljer sig den nya proceduren. Om namnet finns i databasen tillämpas hashfunktionen på lösenordet från inloggningsskärmen. Först därefter jämförs det resulterande hashvärdet med motsvarande hashvärde i databasen. Återigen jämförs inte lösenorden med varandra, utan endast med deras hashvärden. Om hashvärdena matchar varandra utförs inloggningen. I annat fall nekas inloggningen.

Förutom användningen av hashfunktionen har ingenting förändrats i inloggningsförfarandet. Av egenskaperna hos kryptografiska hashfunktioner följer att en jämförelse av hashvärdena är lika bra som en direkt jämförelse av lösenorden. Men nu lagras inte längre själva lösenorden i webbtjänstens databas. Den som får tillgång till databasen - behörig eller obehörig - har inte längre tillgång till lösenorden utan bara till deras hashvärden. Det ekonomiska incitament som beskrivs ovan för att stjäla lösenorden från en webbtjänsts databas elimineras därmed eftersom lösenorden nu inte längre finns i databasen.

Hur hashfunktioner fungerar i praktiken

Vi hoppas att vi har kunnat förklara bättre hur det är möjligt och varför det är vanligt att säkra webbtjänster inte ens känner till de lösenord som vi använder när vi loggar in. I praktiken ökar säkerheten i detta förfarande ytterligare genom att hashvärdena genereras med en specialiserad kryptografisk hashfunktion (bcrypt) och dessutom kopplas till en databasomfattande hemlig teckensträng (salt) innan hashfunktionen används.

Om du har glömt ditt lösenord för en webbtjänst kan du begära en återställning av lösenordet från de flesta webbtjänster. Du får då ett e-postmeddelande med en länk som tar dig till ett formulär där du kan ange ett nytt lösenord. Vi vet nu varför detta hanteras så besvärligt: webbtjänsten känner inte till ditt gamla lösenord. Tyvärr följer inte alla företag denna etablerade säkerhetspraxis ännu. Om du via e-post eller i ett telefonsamtal med ett supportteam anger att du har glömt ditt lösenord och sedan faktiskt får veta ditt lösenord, kan du dra slutsatsen att detta företag inte följer moderna standarder för informationssäkerhet. Senast då bör du definitivt se till att du inte använder detta lösenord i något annat sammanhang. För att konsekvent använda ett separat lösenord för varje webbtjänst bör du använda en lösenordshanterare. Då behöver du inte längre komma ihåg massor av individuella lösenord och har den extra bonusen att kunna skapa slumpmässiga lösenord av hög kvalitet istället. Det finns plug-ins för populära lösenordshanterare som till och med fyller i inloggningsskärmarna för dina webbtjänster åt dig. Sällan möts bekvämlighet och säkerhet så vackert.

Integrera lösenordssäkerhet och hashfunktioner i din personliga utbildning i cybersäkerhet

Sammanfattningsvis spelar hashfunktioner en avgörande roll när det gäller att skydda lösenord från cyberattacker. Hur effektiva de är beror dock i hög grad på hur väl människor förstår och hanterar sina lösenord. Det är här utbildning i cybersäkerhet kommer in i bilden. Genom att lära människor hur man skapar starka lösenord och är uppmärksam på hot på nätet kan vi alla bidra till att hålla våra personuppgifter säkra. Kom ihåg att det är en laginsats att hålla sig säker på nätet och att lite kunskap räcker långt för att skydda oss i den digitala världen.

Andra artiklar om utbildning i medvetenhet om cybersäkerhet som du kanske finner intressanta