I denne uge springer vi lidt rundt og dykker ned i trin 5 i Small Business Administration’s retningslinjer for beskyttelse af din virksomhed mod cybertrusler – brug stærke kodeord og skift dem ofte for at beskytte mod eksterne og insider-trusler.
Passwords er som nogle politikere. De ser måske komplekse og hårdtarbejdende ud, men i virkeligheden er de bare de samme trætte idéer stemplet med et nyt år og et vilkårligt antal “!” hæftet på i slutningen.
#P@ssw0rd2019!!!
Det er desværre ofte sådan, at adgangskoden med dens iboende fejl og forpligtelser er den eneste tynde beskyttelseslinje mellem dine brugere, deres data og et internet fuld af cyberkriminelle. Det er ikke fair, det er ikke rigtigt, og det glaserede blik, du vil få fra dine brugere, når du fortæller dem om de seneste “komplekse adgangskodekrav”, som du implementerer, vil give intetanende administratorer en hård sandhed:
Og uanset hvor mange cifre du tvinger dem til at bruge, uanset hvor mange specialtegn der kræves, og uanset hvor ofte du tvinger dem til at ændre det, er det sikre kodeord – oftest ikke – et sikkert kodeord.
Den ene skøre adgangskode, du gør, som får din CISO til at græde
Det mest almindelige problem med adgangskode-sikkerhed er måske, at efterhånden som vores arbejdspladser og liv er blevet mere og mere digitale, oplever vi, at vi er nødt til at huske flere og flere adgangskoder bare for at bevare adgangen til vores egne personlige oplysninger.
Har du brug for at foretage en kreditkortbetaling eller tjekke din saldo? Du skal bruge en adgangskode.
Har du mere end ét kreditkort? Du har brug for flere adgangskoder.
Bankkonto? Adgangskode.
Har du brug for nye idéer fra Pinterest? PASSWORD.
Tendensen med “online overbelastning” bliver faktisk værre og værre, idet den gennemsnitlige amerikanske forbruger har mere end 100 unikke konti tilknyttet en enkelt e-mail-adresse. Selvfølgelig skal hver konto være sikret, hvilket betyder, at hver konto har brug for en adgangskode – og denne adgangskode skal helst være kompleks. Og du må hellere ikke glemme det, ellers får du vores ven på nakken af os. Vi vil stille dig spørgsmål om din mors pigenavn og om, hvem din yndlingslærer i folkeskolen var – og dermed skabe flere ting at huske, og (omvendt) flere ting, som vi uforvarende kan afsløre for cyberkriminelle.
Denne overbelastning får folk til at gøre dumme ting – og hver af disse dumme ting skaber sikkerhedshuller, der bringer brugere og virksomhedsdata i fare. Her er blot nogle få ting, som brugerne gør hver dag … og med “brugere” mener jeg i virkeligheden “os alle sammen”.
- Vi genbruger i stigende grad den samme adgangskode.
- Når vi ikke genbruger den samme adgangskode, bruger vi simple trin til at “snyde” komplekse algoritmer (password1, password2, password3 …).
- Vi er ikke særlig kloge til at finde på nye adgangskoder – og når vi er det, glemmer vi dem.
- Vi skriver adgangskoder ned på papir – og klistrer dem endda på vores skærme.
- Vi gemmer dem i en tekstfil – i ren tekst – på Dropbox eller Google Drive.
Genbrug af adgangskoder er måske en af de mest bekymrende tendenser, der følger med overbelastning af onlinekonti. Når alt kommer til alt, hvis en cyberkriminel kompromitterer én konto og matcher den knækkede adgangskode med en e-mail-adresse, er det en utrolig simpel øvelse for dem at prøve kombinationen på snesevis eller endda hundredvis af onlinekonti, indtil de finder det, de leder efter. Endnu værre er det, at de kan tage disse legitimationsoplysninger og sælge dem til andre kriminelle, der bruger deres tid på at finkæmme metadata om, hvem vi er, og hvordan vi lever, hvilket fører til mere komplekse identitetstab, der bringer liv og levebrød i fare.
Så hvad har Dumbledore med det at gøre?
Først og fremmest er det i en verden med stadig mere komplekse sikkerhedskrav ikke nok med den traditionelle tekstbaserede kombination af brugernavn og adgangskode. Nyere teknologi som f.eks. multifaktor-autentificering ved hjælp af smart cards eller biometri vil hurtigt begynde at blive normen – og skabe nye og stadig sjovere måder at gøre hele processen endnu mere kedelig og vanskelig på! Der er simpelthen for mange dele af vores liv, som vi ønsker at få adgang til online, og dataene er simpelthen for følsomme til, at vi kan stole på fejlbarlig menneskelig hukommelse og dårlige politikeres metoder til beskyttelse af adgangskoder.
I mellemtiden – mens vi er fastlåst med den fejlbarlige menneskelige hukommelse som vores vigtigste sikkerhedssystem – er viden magt. Arbejd sammen med dine medarbejdere og ledere for at lære dem, hvorfor stærke adgangskoder er vigtige, og hvorfor – selv i dag – behovet for at ændre adgangskoder regelmæssigt stadig er et nødvendigt (om end irriterende) krav. Det er vigtigt at vise dine brugere, hvor farlig dårlig praksis med adgangskoder kan være. Vis, hvordan en enkelt kompromitteret legitimationsoplysninger kan gå i kaskade gennem deres liv, ødelægge bankindeståender, ødelægge kreditvurderinger og åbne dem op for juridiske problemer og ansvar.
Mens du skræmmer dem med denne virkelighed, skal du benytte lejligheden til at lære dem noget om god sikkerhedspraksis for deres adfærd på nettet. Vis dem, hvordan internetkriminelle kan bruge sociale medier til i smug at opdyrke deres personlige data ved hjælp af de berømte “quizzer” på Facebook.
De vil spørge dig: “Vil du vide, hvilken Harry Potter-figur du minder mest om?” Du skal bare fortælle dem din alder, din yndlingsfarve, dit første kæledyrs navn og din yndlingsmad.
Lægger du mærke til noget ved de oplysninger, de vil have? Har du nogensinde tænkt på, hvordan din yndlingsfarve eller dit første kæledyrs navn kan hjælpe sorteringshatten med at finde ud af, hvilket Hogwarts-hus du hører til?
Svaret: Det gør det ikke, men disse oplysninger er yderst nyttige for en cyberkriminel, der forsøger at få adgang til dine personlige konti ved at hacke dine sikkerhedsspørgsmål.
Stærke adgangskoder vil ikke redde dagen, men de hjælper med at forhindre insidertrusler
Som sædvanlig er løsningen flerstrenget. Stærke adgangskoder hjælper, smart onlineadfærd hjælper, gode sikkerhedsprocesser og -procedurer, der forstærkes af sikkerhedssoftware til små virksomheder i verdensklasse som LanScope Cat *hjælper*. Ingen løsning kan løse alting, men kloge mennesker med gode værktøjer og uddannelse kan gøre din organisation til et meget sværere mål.