Nyckeln för att bli bättre på lösenord: tänk på dina användare

Det här borde inte komma som en nyhet för någon, men det finns all anledning att upprepa det: Vi är dåliga på det här med lösenord. Vi är, om man tänker efter lite, oerhört dåliga på det här med lösenord. Här kommer några handfasta råd för hur vi kan ändra på det.

Författare: F-Secure Business Security Insider
Datum: 20.01.2017
Lästid: 5 Minuter

Vi har sett åtskilliga exempel genom åren – stora datadumpar från intrång där hela lösenordsdatabaser legat lagrade i klartext, och som visar med all önskvärd tydlighet hur få som faktiskt har ansträngt sig för att komma på ett lösenord som inte går att gissa sig till.

Frågan aktualiseras gång på gång, senast i december när SVT:s Dold-redaktion lyfte upp det faktum att många svenskar fått sina konton komprometterade i samband med intrång.

En inte alltför vild gissning är att publiciteten gjorde att rekordmånga svenskar bytte lösenord efter att ha tagit del av rapporteringen – och kanske än viktigare: att rekordmånga svenskar faktiskt satte sig ner och började fundera över det här med lösenord och började tänka mer strategiskt kring sina lösenord. För det är precis vad vi borde göra – både som privatpersoner, som anställda och mer kollektivt som företag.

Alltför länge har vi tagit den enkla vägen ut här – och nej, den enkla lösningen är inte att sticka huvudet i sanden och låtsas som ingenting – den enkla vägen ut är att göra något som verkar effektivt och som gör att man tror att man kan sluta oroa sig. Mängder av företag har implementerat en lösenordspolicy, som bygger på antaganden som inte stämmer och som inte fungerar.

Det är därför många av oss sitter fast i regelverk som kräver att våra lösenord inte bara ska innehålla olika typer av tecken, siffror och bestå av både gemener och VERSALER – de ska dessutom bytas var 30:e dag, eller en gång i kvartalet.

Det låter bra på pappret. Effektivt. Det ska göra att alla användare skaffar lösenord som är omöjliga att gissa sig till, och dessutom svåra för datorer att beräkna sig fram till. Och de kommer att byta till nya lösenord ofta för att säkerställa att lösenordet – denna nyckel rakt in i de allra känsligaste delarna av ett företags nätverk – inte hamnar i fel händer, och om det skulle göra det så skulle skadan ändå inte vara så stor för användaren hade ändå hunnit med att byta till ett nytt lösenord.

Men det är en utopi. I verkligheten leder den här typen av stenhårda regler bara till att användarna hittar genvägar runt dem. De lägger till en siffra, de alternerar mellan två lösenord. De skriver upp det på en lapp, eller ännu värre – de använder samma lösenord överallt. För tänk efter, om du ändå måste komma på och tvingas komma ihåg ett riktigt bra lösenord: varför inte använda det överallt, så du får samma säkerhet på din mejl, ditt Facebook-konto och inloggningen till näthandlaren du köper barnens julklappar från?

Om du arbetar med säkerhet har du säkert fått gåshud redan. Du vet att det faktum att företaget har en strikt policy att lösenordet inte får användas någon annan stans inte kommer att respekteras av alla.

Och tyvärr är det så att det räcker med att en person gör fel för att säkerheten ska falla.

I en idealvärld hade lösenordet varit något från det förgångna, en gammal och bortglömd lösning på ett gammalt problem. Men i verkligheten är det så att användarnamn/lösenord fortfarande är den säkerhetslösning som vi i huvudsak förlitar oss på. Oavsett vad det är som ska säkras.

Och även om det finns lovande teknik på horisonten (exempelvis lösningar baserade på olika typer av biometri och beteendebaserade lösningar) så är det inte läge att stoppa huvudet i sanden och hoppas på något bättre. Det är läge att ta tag i lösenordsfrågan. Och vi är många som tycker att det är på tiden: från NIST i USA till Anne-Marie Eklund Löwinder, säkerhetschef på IIS.

Nedan är en enkel åtgärdsplan i sex steg, som delvis bygger på egna erfarenheter och delvis på senaste utkastet av NIST:s kommande rekommendationer. Den löser inte problemet, men den är ett stort steg på vägen – de handlar alla om samma sak, att göra ditt företags lösenordspolicy mer användarvänlig.

För det är ju trots allt användarna som ska leva med de regler och den policy som företaget väljer att implementera.

  • Tvinga dem inte att byta. Om du vill att dina användare ska använda säkra lösenord och inte återanvända dem på andra ställen – tvinga dem inte att byta stup i kvarten. Enda gången ett lösenord ska återställas är om det glöms bort – eller om du vet att det har läckt eller kan ha läckt.
  • Tillåt långa lösenord. Inget mer ”ditt lösenord får vara upp till 16 tecken”. Det gör det möjligt att skapa lösenord som är enklare att komma ihåg, men ändå säkra.
  • Ha inga regler kring hur lösenord ska vara uppbyggda. Tvinga inte användarna att använda specialtecken/stora och små bokstäver. Uppmuntra dem istället att välja långa lösenord.
  • Tillåt samtliga tecken. Ju fler tecken användarna har att välja på, desto enklare blir det för dem att skapa säkra lösenord.
  • Kolla av nya lösenord mot en av de listor över erkänt dåliga lösenord som existerar som finns tillgängliga.
  • Använd tvåfaktorautentisering. Det är inte så komplicerat som du tror. När man väl kommit in i det är det enkelt – och det kommer att göra att du kan sova betydligt bättre på nätterna.

Och sist men inte minst – ett råd till dig som användare, för användare av IT-system är vi ju alla. Oavsett vilken roll vi har inom organisationen:

Hitta ett sätt att hantera den stora mängd lösenord som krävs för att undvika att använda samma lösenord på flera ställen. En lösenordshanterare som exempelvis F-Secure Key kan hjälpa en att inte bara hålla reda på alla lösenord, utan också hjälpa till och generera nya, säkra och slumpade lösenord för varje tjänst och sajt.

[BILD: DiasSoares, Flickr]


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s