Passord er en stor sikkerhetsrisiko for virksomheter
KOMMENTAR: Statistikken for passord på avveie taler et tydelig språk, skriver Juha Hakava.
Vi føler nok alle på at vi er litt mer slurvete med passordene våre enn vi strengt tatt burde være. Statistikken for passord på avveie taler et tydelig språk: Det handler ikke bare om litt uskyldig slurv, men heller om en stående invitasjon til hackere og andre uvedkommende. Hva burde konklusjonen da være? Det åpenbare er at vi må akseptere at passord aldri vil bli en sikker metode for innlogging. Det er realiteten.
Det handler ikke bare om at mange velger 123456 som passord i stedet for H3o’#jili32?2. For, joda, også et veldig sikkert passord kan nemlig stjeles – og det er dessuten faktisk den vanligste måten nettbasert inntrengning skjer på. Mange er opptatt av penetrasjonstesting, men realiteten er at hackere i dag sjeldent bryter seg inn på tradisjonelt vis. I stedet logger de seg inn ved hjelp av stjålne brukeropplysninger. Ikke like kult som på film, men (minst) like skadelig.
Her er noen undersøkelsesresultater som burde sjokkere en hvilken som helst leder og arbeidsgiver:
• Mer enn 40 prosent av de ansatte sier at de deler sine passord med kolleger
• Nesten hver fjerde ansatt har beholdt fungerende innlogging fra tidligere ansettelser
• Mer enn en tredjedel oppbevarer sine passord på papir
• En av fem benytter samme passord til sin personlige epostkonto som til epostkontoen på jobben
Så det hadde kanskje vært smart om vi kunne slippe disse passordene? Faktisk er det slett ikke umulig og det er noe som mange, inkludert Microsoft og oss selv, jobber med. Det finnes i dag etablerte identifiseringsmetoder som ikke er basert på passord. Gjennom å innføre nulltillit og løpende verifisere hver bruker og enhet ved hver eneste forespørsel om tilgang er det mulig å få en bedre sikkerhet enn det passord kan gi oss.
Er det mulig å beskytte passordene?
Å lagre passordene på en sikker måte er naturligvis viktig, men en tredjedel skriver altså passordene dine ned på papir! En fjerdedel memorerer dem i hodet og mange noterer dem også digitalt. Nesten fire av ti oppgir at de benytter en passordbehandler som lagrer og håndterer innloggingsinformasjon på nettet. Disse gir en viss beskyttelse, men hvis en hacker lykkes i å komme seg inn i passordbehandleren får hackeren like så godt tilgang til samtlige passord på én gang.
De fleste ansatte bekymrer seg likevel ikke spesielt mye for passordsikkerheten. Omtrent 45 prosent ser på sine passord som veldig sikre.
De fleste ansatte bekymrer seg likevel ikke spesielt mye for passordsikkerheten. Omtrent 45 prosent ser på sine passord som veldig sikre. Nesten en fjerdedel sier til og med at de benytter seg av «ekstremt sikre» passord.
En risikoatferd som undersøkelsen fanger opp er ansatte som benytter samme passord til private tjenester og på jobben. At en av fem har samme passord til sin private epostkonto som det de benytter på jobben, innebærer at arbeidsgiverens nettverk er avhengig av sikkerheten for den private epostkontoen – som arbeidsgiveren ikke har noen kontroll over.
Passordene spres på arbeidsplassen
Når flere ansatte har tilgang til ett og samme passord øker risikoen. Undersøkelsen viser at to tredjedeler sier at de har delt eller sendt et jobbrelatert passord til en medarbeider eller et familiemedlem.
Dessuten har vi naturligvis det siste - og for sjefene kanskje mest urovekkende resultatet - fra undersøkelsen. En av fem ansatte sier at de har forsøkt å gjette sjefens eget passord.
Så det er nok best at sjefen har tenkt gjennom sitt eget passord, eller kanskje snarere tenker gjennom hvordan de selv og sine ansatte skal logge inn i fremtiden!
Juha Hakava, Nordensjef i Beyond Identity