Varje maj firas World Password day för att påminna om vikten av säker hantering av lösenord. Men frågan är aktuell året runt. Telia Cygates säkerhet cybersäkerhetsexperter har därför sammanställt våra bästa rekommendationer för individer och organisationen kring hur identifiering och lösenord bör hanteras.
Identifiering – att kunna visa vem man är, blir allt viktigare. Historiskt, hanterade organisationer sin information i interna It-miljöer som inte var tillgängliga för omvärlden. Då var tillgången till systemen en betydande del av säkerheten, eftersom It-miljön endast var tillgänglig för de som fysiskt befann sig inom organisationen.
Digitaliseringens framsteg, med möjlighet att dra nytta av innovation och nya leveransmodeller har resulterat i att stora delar av organisationens information nu istället lagras i olika typer av tjänster. Dessa finns tillgängliga oavsett var användaren befinner sig. Det innebär att samma sorts säkerhet inte finns längre eftersom tjänsten ofta är tillgänglig för vem som helst med en internet-uppkoppling.
Organisationer behöver därför höja sin säkerhetsnivå genom att förstärka identifieringen. Det kan till exempel göras genom att identifiera användare med två faktorer – något användaren har och något användaren vet, exempelvis en app på en mobiltelefon och en PIN-kod. Det fungerar då på samma sätt som när vi identifierar oss när vi deklarerar eller gör bankärenden. Cyberattacker med stulna lösenord är idag det absolut vanligaste sättet att angripa organisationer, och säkerhet är ju som bekant en kedja som inte är starkare än dess svagaste länk…
Lösenordshygien för individer
- Unika lösenord: Återanvänd inte samma lösenord på flera platser – Precis som vi använder olika borstar hemma: Vi använder inte samma borste för att borsta tänderna som att köra rent badrummet.
- Hantera lösenord: Slipp manuell hantering och hästminne använd en s.k. lösenordshanterare (eng. Password Manager) som hjälper dig skapa olika och säkra lösenord för varje tjänst.
- Stärk din inloggning: Identifiera dig på ett säkert sätt, helst med två faktorer (något du har och något du kan) för de tjänster som hanterar detta.
- Använd inloggningstjänster: Flera stora tjänsteleverantörer (exempelvis Google, Facebook och Apple) gör det möjligt att logga in till andra tjänster med inloggningstjänster. Du har då bra möjlighet att överblicka vilka andra tjänster du använder samt få larm om de används av obehöriga.
Identifieringshygien för organisationer
- Styr med policy: Uppdatera interna regelverk och rutiner med moderna krav på säker identifiering. Lösenord skall inte bytas ofta eller vara för långa, då forskning visar att detta är kontraproduktivt (ref. NIST 800-63B)
- Praktiska rutiner: Översätt policy med praktiska råd och checklistor för hur användare och systemägare skall arbeta med identifiering. Kan identifiering automatiseras för att förenkla för medarbetaren och samtidigt höja säkerheten?
- Samordna identifiering: Samordna och återanvänd central identifiering, till exempel genom centrala katalogtjänster och förenklad användarupplevelse med automatisk identifiering där det är möjligt.
- Stärk identifiering: Aktivera funktioner för identifiering med två faktorer för extern access, access till känsliga system samt för inloggning till konton med höga behörigheter.
- Hantera administrativ tillgång: Säkerställ att inloggning med höga behörigheter och administrativ tillgång sker med användarunika uppgifter. Använd lösningar för att hantera privilegierad och administrativ tillgång. Det gör att medarbetare bara använder höga behörigheter i system vid just de tillfällen detta behövs samt att medarbetare använder en identitet inom organisationen som tilldelas de rättigheter de behöver för en viss uppgift.
