<img height="1" width="1" style="display: none" src="https://www.facebook.com/tr?id=2415267652073743&amp;ev=PageView&amp;noscript=1">

Artikel

Är lösenord osäkert?

JBwcenOuRCg

Lösenord, vår vanligaste autentiseringsmetod. Och snacket på stan hävdar att lösenord inte är säkert – så hur ligger det egentligen till med det? I denna artikel resonerar vi runt riskerna med lösenord och hur man hanterar det på bästa sätt.

Lösenord har använts långt före datorernas tid för att kunna bekräfta sin rätt till åtkomst. Ali Baba använde ”Sesam öppna dig” för att öppna grottan där de fyrtio rövarna gömde sina skatter. Hans bror glömde bort frasen och blev fånge inne i grottan. Han hade blandat ihop sesam med andra sädesslag, och då gick det åt skogen. Ungefär här i referensen kan vi dra likheten med vad som gör lösenord osäkert i modern tid.

Lösenord i den digitala världen är i sig inte en osäker autentiseringsmetod. Om vi blundar för nyanser där andra tekniska sårbarheter påverkar säkerheten så är lösenord en säker metod. Problemet med lösenord är det är något som man ”måste veta”, det är information. Och om det är något man kan veta själv, så kan någon annan veta det också. Fortfarande är den vanligaste metoden för att lagra lösenord att man har dem i huvudet. För att man ska ha en chans att faktiskt minnas lösenorden så kan de inte vara för långa och framför allt inte för komplexa. Då kommer vi inte komma ihåg dem. Det är då lättgissade lösenord komponerade med hjälp av årstider, namn på barn, siffersekvenser osv. uppstår. Här är topp 10 populäraste lösenord 2022 (Nordpass):

  1. password
  2. 123456
  3. 123456789
  4. guest
  5. qwerty
  6. 12345678
  7. 111111
  8. 12345
  9. col123456
  10. 123123

Lösenordsläckor

Mot bakgrund av denna topplista så är det ju inte så svårt att förstå att intrång sker. Nu är kvaliteten på just denna korta topplista väldigt låg, men ibland så spelar kvaliteten inte heller så stor roll. En vanlig metod för att, med relativt låg kompetens, försöka göra intrång i system är att använda kontouppgifter från läckor. Det skulle kunna gå till ungefär så här: Användare A, som jobbar på Företag B, har ett konto till en tjänst hos Leverantör C. Leverantör C blir utsatta för ett angrepp med dataläckage som följd. Datat som stjäls är en lista över alla inloggningsuppgifter till alla användare av tjänsten som Leverantör C tillhandahåller. Denna lista sprids sedan i olika ”hackerforum”.

I en annan ände så är Angripare X intresserad av att angripa Företag B. Företag B, som så många andra företag, har flertalet åtkomster publicerade externt för att tillåta distansarbete. Det kan vara VPN, fjärrskrivbord eller Office365. Användare A, vars kontouppgifter läckt från Leverantör C, använder samma lösenord för att logga in på Företag B som på kontot till Leverantör Cs tjänst – ja ni förstår varför – för att det skall vara lätt att komma ihåg. Det första Angripare X gör är att testa inloggningsuppgifter från Leverantör Cs läcka för att komma åt Användare As konto på Företag B. Och eftersom Användare A använt samma lösenord för åtkomst till både Leverantör Cs tjänst och till till sitt konto på Företag B så får Angripare X åtkomst till Företag B. Detta är en väldigt vanlig metod hos många angripare i det initiala skedet, eftersom det är enkelt att genomföra och därför värt att testa.

Hur hade vi kunnat motverka detta?

  1. Använd inte samma lösenord på fler ställen än ett
  2. Multifaktorsautentisering

Hur ska man tänka när det gäller hantering av lösenord?

Vi vill ha bra och säkra lösenord, överallt på alla konton. Och lösenorden skall vara unika. Använd aldrig samma lösenord på fler ställen, om de läcker på ett ställe blir ni lätta måltavlor. Men det kommer blir otroligt krångligt att uppfylla dessa krav utan någon form av stöd. Ingen kommer kunna komma ihåg unika och komplexa lösenord till flertalet olika tjänster. Man behöver en lösenordshanterare. En lösenordshanterare kommer att lösa flera av utmaningarna med lösenord.

Här är de huvudsakliga fördelarna med en lösenordshanterare:

  1. Lösenordshanteraren lagrar alla lösenord, du kommer inte behöva komma ihåg dem längre
  2. Lösenordshanteraren kommer generera starka och unika lösenord åt dig
  3. Förenklad inloggning med användarnamn och lösenord ifyllt och klart
  4. Cross-device-stöd

Multifaktorsautentisering

Det finns en nidbild av att hackare hackar sig in i system. Det gör de ibland, men väldigt ofta loggar de helt enkelt in. Hanteringen av lösenord är orsaken till detta. Problemen med lättgissade, korta och okomplexa lösenord har funnits länge. Det är i huvudsak därför teknik som multifaktorsautentisering har uppstått. Då behöver man inte längre bara faktorn ”något jag vet” för att logga in, man behöver också faktorn ”något jag har”. Vissa multifaktorsautentiseringar har dessutom stöd för biometri för autentisering, då tillkommer faktorn ”något jag är” också. Då är det faktiskt ganska säkert. Ha som tumregel att implementera multifaktorsautentisering på alla tjänster som finns publicerade på internet. Alla!

Förvaltningen

Lösenordshanterare och multifaktorsautentisering kommer att ge ett mycket, mycket bättre skydd än bara användardesignade lösenord. Men det finns några processorienterade aktiviteter som är viktiga att ta med i sitt arbete.

  • Förvalta konton systematiskt, helst automatiskt kopplat till HR-process som säkerställer att konton inaktiveras när en användare slutar eller varit inaktiv under en lång period.
  • Radera inte konton utan inaktivera dem. Ett raderat konto försvårar framtida spårbarheter och riskerar dessutom att samma kontonamn återanvänds vid ett senare tillfälle.
  • Logga användning av konton och övervaka beteenden såsom inloggningstid, antal inloggningar inom en tidsperiod och längd på aktivitet. Detta är bra faktorer att ha koll på, speciell om ni angrips.

Är lösenord osäkert?

Som enskilt fenomen är inte lösenord osäkert, men som helhet med stora inslag av mänsklig hantering så blir det snabbt osäkert. Multifaktorsautentisering reducerar risken med lättvindig åtkomst för en angripare. En lösenordshanterare reducerar risken för dålig lösenordskvalitet och skapar unika lösenord för varje konto - då blir inte konsekvensen alls lika stor om de läcker. Dessutom förenklar lösenordshanteraren användarens vardag samtidigt som det blir säkrare.

Tänkt om Ali Babas brorsa hade haft en lösenordshanterare!

 

Behöver ni hjälp med lösenordshanterare eller multifaktorsautentisering - tveka inte att kontakta oss!

Kontakt

christoffer widjeback

Christoffer Widjeback

Låt oss ta en kaffe

Ta en kontakt så hör vi av oss.