Blogginlägg -

Säker lösenordshantering i 9 steg

Den 22 november förra året sände Sveriges Television programmet ”Läckta lösenord” som en del av programserien ”Dold”. Programmet visade att stora mängder lösenord som var kopplade till svenska användarkonton finns tillgängliga på listor som publicerats av hackers. Ursprunget var från digitala intrång i olika publika tjänster som t ex Tumblr, Dropbox, LinkedIn. SVT skapade en tjänst för användare att kontrollera om deras användarnamn och lösenord fanns bland den sammanställda information. Tjänsten var publik på adressen https://dold.svt.se/ och under de 9:e dagarna som den var tillgänglig hade den nästan 2 miljoner unika besökare som kontrollerade om deras konton fanns där. Bolaget Yahoo gick den 14 december 2016 ut med att man vid ett hackers kommit över 1 miljard konton vid ett intrång 2013.

Att historien runt intrång kommer att upprepa sig är tyvärr en realitet, och ju längre digitaliseringen av vårt samhälle kommer, desto mer värden går det att komma över. När belöningen för ett lyckat intrång blir större, ökar sannolikheten att någon försöker och eventuellt lyckas. Det är alltså idag av största intresse för alla säkerhetsansvariga att arbeta med säker lösenordshantering.

Utmaningen med lösenordshantering
Sett ur ett företagsperspektiv är det en teknisk utmaning att jobba preventivt. Den totala tekniska plattformen är idag väldigt fragmenterad med tjänster som finns både lokalt och i molnet. Vi använder oss av mobila enheter, och arbete och fritid flyter ihop. Detta skapar särskilda problem eftersom användare återanvänder lösenord på flera tjänster, såväl privat som på arbetet. Det är idag inte möjligt att rent tekniskt tvinga en användare att inte använda samma lösenord om och om igen, även om det finns lösningar som täcker vissa behov. Däremot går det att informera och utbilda, även om det i slutändan alltid är människan som är den svagaste länken.

Preventiv teknik i fem steg
Även om utmaningen kan verka stor, finns det en rad preventiva tekniska tillvägagångssätt som du som säkerhetsansvarig kan och bör ta till;

  1. Implementera en lösning för lösenordsregler (password policy) som guidar användaren till skapandet av starka lösenord, samt blockerar användningen av läckta lösenord eller ord från ordböcker.
  2. Komplettera med en lösning för lösenordsåterställning med självbetjäning så att användarna kan återställa sina lösenord helt på egen hand . Se till att du har flerfaktorautentisering på plats för denna tjänst, så att ett starkt lösenord inte blir svagt på grund av processen.
  3. Inför flerfaktorsautentisering för andra tjänster, det finns en uppsjö av olika typer som passar olika behov. Välj en lösning som utgår från risknivåer, dvs som gör att du har möjligheten att anpassa säkerhetsnivån beroende på tjänsten och användaren.
  4. Utforska möjligheten att använda identitetsfederationer som minskar antalet lösenord som behövs, och förenklar för användaren. Tänk dock på att kontrollera att din Identity Provider (IdP) kan hantera olika typer av autentisering.
  5. Utöver identitetsfederationer, utforska möjligheten att använda Single Sign-On, eller mer rätt Reduced Sign-On, som förenklar för användaren.
  6. Om en användare inte är lokal administratör utan vanlig användare minskar risken att skadliga program, som tex keyloggers, kommer in i systemet.

Reaktivt arbete – inom och utom din kontroll
Det preventiva arbetet skapar en bra grund, men du måste också se till att du har en bra reaktiv plan. Du behöver snabbt upptäcka om dina användares lösenord används på ett felaktigt sätt – både inom din kontroll, dvs din egen IT-miljö, men också utanför din kontroll. Här handlar det om;

  1. Övervaka interna avvikande beteenden, med liknande metoder som kreditkortsföretag och banker använder sig av när de kontrollerar avvikande transaktioner.
  2. Ha en lösning på plats som tillåter dig att omgående tvinga användarna att byta lösenord eller be om en tillfällig flerstegsautentisering.
  3. Följ det som är utom din kontroll, t.ex. när en extern tjänst blir hackad. Ett exempel på en tjänst som du kan använda för att kontrollera om dina användares kontoinformation kan vara på vift är “Have I been pwned?“. Även om tjänsterna inte är helt tillförlitliga och de bygger på historisk information, ser jag dem som en relevant pusselbit.

Som avslutning.
Det går förstås att argumentera att det är användarens ansvar att hålla koll på sina lösenord, men jag vill påstå att det är en väldigt osäker väg att gå. Med tanke på hur stor säkerhetsrisk våra lösenord idag utgör, ligger det i varje organisations intresse att fokusera på teknisk riskhantering.

Gällande inslaget i SVT om läckta lösenord vill jag tillägga att de publika tjänsterna blev inte hackade igår, flertalet lösenord är från intrång som ägde rum för flera år sedan. En annan sak som är bra att känna till är att organisationer lagrar lösenord, med få undantag, i krypterad form (en sk hash). En hash är en beräkning och kan givetvis knäckas, men om ditt lösenord är tillräckligt komplext blir det svårare att hacka.

Per Hägerö, CTO, 123on
Gästbloggar för Specops Software

Relaterade länkar

Ämnen

  • Datasäkerhet

Kategorier

  • läckta lösenord
  • dataintrång
  • it-säkerhet
  • lösenordssäkerhet
  • lösenordshantering

Kontakter

Relaterat innehåll

  • Helene Stafferöd Westerlund, ny CTO på Specops Software

    Helene Stafferöd Westerlund har i februari börjat på Specops Software i Stockholm som Chief Technology Officer. Hon har valt att ta klivet från en framgångsrik karriär inom onlinespel till ett område med stor tillväxt; Identity, Access and Password Management. Helene kommer närmast från Betsson där hon var utvecklingschef för den tekniska plattformen, och dessförinnan Net Entertainment.

  • Lösenordsbytardagen 20 jan: Här är hackarens lättaste väg in

    Enligt ”Data Breach Investigations Report 2016” involverar hela 63% av alla dataintrång dåliga lösenord. Lösenordsbytardagen den 20 januari är ett bra tillfälle att lyfta upp denna riskfaktor. Med tanke på hur vanligt det är med dåliga lösenord och återanvändning av dem både privat och på jobbet, är detta något som säkerhetsansvariga idag är skyldiga att sätta sig in i.

  • Hitta din digitala identitet

    Det går inflation i antalet digitala identiteter vi har. En av de senaste undersökningarna från Storbritannien visar att en mailadress i genomsnitt, beroende på land, har 90-130 tjänster kopplade till sig. Vi bjuder på bättre kunskaper om din digitala identitet och lär dig hantera den på ett smartare sätt.

  • Hackarens kryphål – återanvända lösenord

    Det har varit gott om fall av dataintrång och läckta lösenord i media de senaste åren. Oavsett om de stulna lösenorden är till Biljettnu.se eller LinkedIn, så utgör det även en risk för företag. Risken är nämligen stor att detta lösenord återanvänds på arbetsplatsen. M.a.o. utgör alla miljontals läckta lösenord från privata tjänster i högsta grad även ett hot mot företag och organisationer.

  • Penetrationstester avslöjar dålig lösenordshygien

    I en tid när id-kapningar och dataintrång eskalerar, är det viktigt att snabbt täppa till säkerhetsluckor. Problem med lösenordshygien är en av de vanligaste anledningarna till att inte godkännas i penetrationstester. Här är några av de vanligaste problemen, och vad företag bör göra åt det.

  • 3 vanliga och kostsamma misstag som IT-adminstratörer gör

    För några månader sedan bad vi branschkollegor inom IT att identifiera några vanliga misstag som nya IT-administratörer gör. Med över 100 svar kunde vi se att det finns några utmärkande mönster, eller rättare sagt, misstag. Utifrån den input vi fick har vi skapat en lista med de viktigaste misstagen IT-administratörer bör undvika att göra.

  • Autentisering i en hybrid IT-miljö skapar säkerhetsrisker

    Vad händer med användaridentiteter och lösenord i en hybrid version av IT? Med tanke på att hela 63% av alla dataläckor involverar svaga eller stulna lösenord, är organisationer i behov av bättre autentiseringsmetoder för att skydda sig.

Fyll i din epostadress för att följa Specops Software

När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av oss och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

För att läsa mer om detta, var vänlig läs vår Integritetspolicy som berör vår behandling av dina personuppgifter, och Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

Vänligen notera att våra Användarvillkor gäller alla våra tjänster.

Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
Kolla din inkorg

Mejl skickat till __email__. Klicka på länken i mejlet för att följa Specops Software.

Okej