Passwordsikkerhed er forældet vanetænkning

Hvis vi gerne vil hjælpe brugerne med at opføre sig mere sikkert online, skal vi stoppe med at tilbyde dem usikre login-metoder. Verificering ved hjælp af et password er for længst blevet overhalet af bedre sikkerhedsprincipper. Så hvorfor sender vi ikke bare passwordsikkerhed på pension?

Der er lidt tvivl om, præcis hvornår det første password blev opfundet, men de fleste amerikanske computerhistorikere er enige om, at det skete omkring begyndelsen af 1960’erne på Massachusetts Institute of Technology (MIT). Tanken var dengang som nu at styre adgange til it-ressourcer med et kodeord. Men allerede et år efter, de første passwords blev opfundet, blev de hacket og demonstrerede dermed den indbyggede usikkerhed i teknologien: Så længe vi bruger passwords, vil der altid være nogen, der prøver at stjæle dem.

Søren Linde er Senior Mobility Consultant i Conscia. Han forklarer, at passwords var sikrere at benytte for år tilbage, men at de ikke er det længere. Værktøjerne til at stjæle eller gætte usikre passwords er blevet for gode og let tilgængelige. Hackerne har nærmest ingen risiko, når de angriber. I dag er usikre passwords den mest brugte metode til at opnå uautoriseret adgang til brugerkonti og systemer. 80% af alle de sikkerhedsbrud, Verizon analyserede i 2020, var relateret til passwords.

“Sikkerhedsmantraet for passwords har i en årrække heddet, at hvis vi gjorde dem lange og komplekse, hvis vi ikke genbrugte dem, og hvis vi skiftede dem ofte, så var de sikre. Vi kan bare konstatere, at det ikke er tilfældet. Dels fordi lange passwords er svære at huske og derfor bliver skrevet ned eller cachet i browseren, og dels fordi brugerne uforvarende kommer til at give hackerne passwordet – blandt andet ved phishing-angreb.”

Certifikater og multifaktor

I stedet for at fortsætte med at bruge passwords anbefaler Conscia, at organisationer bruger en kombination af certifikater på alle godkendte enheder til brugerverificering som den ene sikkerhedsfaktor, og at man som den anden sikkerhedsfaktor anvender eksempelvis en hardware-token eller en app til multifaktorgodkendelse.

“Det kan umiddelbart synes kontraintuitivt, at et system uden et password er mere sikkert, men tænk på det kontaktløse Dankort. Før det blev opfundet, skulle man bruge en pinkode som password. Det betød, at pinkoden kunne aflures, og vi så masser af eksempler på Dankort, der blev misbrugt i en hæveautomat efter at være blevet stjålet. Da det kontaktløse Dankort kom, faldt Dankort-misbruget pludselig til det halve. Og det var, fordi man lukkede det mest kendte scenario for misbrug ned, nemlig det at pinkoden blev afluret i en butik. Kriminelle stjæler ikke et Dankort for at bruge det til kontaktløse køb. De vil omsætte det til kontanter. Hvorfor lukker vi ikke på samme vis de mest kendte scenarier ned for misbrug af passwords, når vi nu ved, at det er sådan, hackere ofte kommer ind på et virksomhedsnetværk?”

Individuel brugerbeskyttelse

Søren Lindes sikkerhedsmantra er, at vi skal gøre det nemmere at være bruger. Han har set eksempler på brugere, der pludselig blev bedt om at godkende et login, fordi ét baggrundssystem på deres pc ønskede at udveksle data med et andet baggrundssystem. Konsekvensen blev, at brugerne til sidst bare sagde ’ja’, når de blev sikkerhedspromptet, selvom de reelt ikke vidste, hvad det var, de godkendte.

“Det er jo ikke med til at højne sikkerhedsniveauet. Sikkerhed skal være forudsigeligt for mig som bruger. Jeg vil forstå, hvad der sker og hvorfor. I stedet for en sikkerhedsprompt, der popper op hele tiden og afkræver aktiv handling, skal man som organisation hellere bruge krudtet på at bygge en elegant Single Sign-On-løsning,” siger Søren Linde og kommer med en sidste pointe.

“Selvom vi tager passwords ud af sikkerhedsligningen, vil det være individuelt fra organisation til organisation, hvad der skal sættes i stedet. Det kommer blandt andet an på organisationens risikobillede, brugersammensætningen, om man arbejder meget på kontor eller på farten, og om man har en pc eller Mac. I alle tilfælde handler det om at finde den rigtige kombination af brugervenlighed og passende sikkerhedsforanstaltninger.”

Vil du vide mere om, hvordan I opnår bedre sikkerhed? Så se vores webinar on demand Få bedre sikkerhed (og gladere brugere) uden password lige her.