Denna vecka hoppar vi runt lite och dyker ner i steg 5 i Small Business Administration’s riktlinjer för att försvara ditt företag mot cyberhot – använd starka lösenord och byt dem ofta för att skydda dig mot externa och interna hot.
Lösenord är som vissa politiker. De kan se komplexa och hårt arbetande ut, men i verkligheten är de bara samma trötta idéer som stämplats med ett nytt år och ett antal ”!” på slutet.
#P@ssw0rd2019!!!
Olyckligtvis är lösenordet, med dess inneboende brister och ansvar, ofta den enda tunna skyddslinjen mellan dina användare, deras data och ett internet fullt av cyberbrottslingar. Det är inte rättvist, det är inte rätt, och den glaserade blick du får från dina användare när du berättar om de senaste ”komplexa lösenordskraven” som du håller på att införa kommer att ge intet ont anande administratörer en hård sanning:
Oavsett hur många siffror du tvingar dem att använda, oavsett hur många specialtecken som krävs och oavsett hur ofta du tvingar dem att ändra det, är det säkra lösenordet oftast inte säkert.
Den där galna lösenordsgrejen du gör som får din CISO att gråta
Det kanske vanligaste problemet med lösenordssäkerheten är att i takt med att vår arbetsplats och våra liv har blivit alltmer digitaliserade, upptäcker vi att vi behöver komma ihåg fler och fler lösenord bara för att ha tillgång till vår egen personliga information.
Bedöms du göra en kreditkortsbetalning eller kontrollera ditt saldo? Du behöver ett lösenord.
Har du mer än ett kreditkort? Du behöver flera lösenord.
Bankkonto? Lösenord.
Har du behov av nya idéer från Pinterest? Lösenord.
Trenden med ”överbelastning på nätet” blir faktiskt allt värre, eftersom en genomsnittlig amerikansk konsument har mer än 100 unika konton kopplade till en enda e-postadress. Naturligtvis måste varje konto säkras, vilket innebär att varje konto behöver ett lösenord – och det är bäst att lösenordet är komplext. Och det är bäst att du inte glömmer det, annars kommer vi att sätta vår vän på dig. Vi kommer att ställa dig frågor om din mammas flicknamn och vem din favoritlärare i grundskolan var – vilket skapar fler saker att komma ihåg och (omvänt) fler saker som vi oavsiktligt kan avslöja för cyberbrottslingar.
Denna överbelastning leder till att människor gör dumma saker – och var och en av dessa dumma saker skapar säkerhetssårbarheter som utsätter användarna och företagsdata för risker. Här är bara några saker som användare gör varje dag … och med ”användare” menar jag egentligen ”vi alla”.
- Vi återanvänder allt oftare samma lösenord.
- När vi inte återanvänder samma lösenord använder vi enkla steg för att ”lura” komplexa algoritmer (lösenord1, lösenord2, lösenord3 …).
- Vi är inte särskilt smarta på att hitta på nya lösenord – och när vi är det glömmer vi dem.
- Vi skriver ner lösenorden på papper – till och med klistrar upp dem på våra skärmar.
- Vi förvarar dem i en textfil – i klartext – på Dropbox eller Google Drive.
Rekvisit för återanvändning av lösenord är kanske en av de mest oroande trenderna i samband med överbelastning av konton online. Om en cyberkriminell äventyrar ett konto och matchar det knäckta lösenordet med en e-postadress är det trots allt en otroligt enkel övning för dem att prova kombinationen på dussintals, eller till och med hundratals, onlinekonton tills de hittar vad de letar efter. Ännu värre är att de kan ta dessa inloggningsuppgifter och sälja dem till andra brottslingar som ägnar sin tid åt att finkamma metadata om vilka vi är och hur vi lever, vilket leder till mer komplexa identitetsförluster som äventyrar liv och försörjning.
Så vad har Dumbledore med saken att göra?
För det första är den traditionella textbaserade kombinationen av användarnamn och lösenord helt enkelt inte tillräcklig i en värld med alltmer komplexa säkerhetskrav. Nyare teknik som flerfaktorsautentisering med hjälp av smarta kort eller biometri kommer snabbt att börja bli normen – och skapa nya och allt roligare sätt att göra hela processen ännu tråkigare och svårare! Det finns helt enkelt för många delar av våra liv som vi vill komma åt på nätet, och uppgifterna är helt enkelt för känsliga för att man ska kunna lita på ett bristfälligt mänskligt minne och dåliga politiska metoder för lösenordsskydd.
Under tiden – medan vi är fast med det felbara mänskliga minnet som vårt huvudsakliga säkerhetssystem – är kunskap makt. Arbeta med dina anställda och chefer för att lära dem varför starka lösenord är viktiga och varför – även i dag – behovet av att byta lösenord regelbundet fortfarande är ett nödvändigt (om än irriterande) krav. Det är viktigt att visa användarna hur farliga dåliga lösenordspraxis kan vara. Visa hur en enda komprometterad autentiseringsuppgift kan leda till att deras liv blir en kaskad, att deras banksaldon förstörs, att deras kreditvärdighet försämras och att de kan drabbas av juridiska problem och skadeståndsskyldighet.
Medans du skrämmer dem med denna verklighet kan du ta tillfället i akt att lära dem något om goda säkerhetsrutiner för deras beteende på nätet. Visa dem hur internetbedragare och brottslingar kan använda sociala medier för att i smyg odla deras personuppgifter med hjälp av de berömda ”frågesportarna” på Facebook.
De kommer att fråga dig: ”Vill du veta vilken Harry Potter-figur du är mest lik?”. Det är bara att berätta din ålder, din favoritfärg, namnet på ditt första husdjur och din favoritmat.
Märker du något om den information de vill ha? Har du någonsin undrat hur din favoritfärg eller ditt första husdjurs namn kan hjälpa sorteringshatten att ta reda på vilket Hogwarts-hus du tillhör?
Svaret: Det gör det inte, men denna information är extremt användbar för en cyberkriminell som försöker få tillgång till dina personliga konton genom att hacka dina säkerhetsfrågor.
Starka lösenord kommer inte att rädda dagen, men de hjälper till att förhindra insiderhot
Som vanligt är lösningen flerskiktad. Starka lösenord hjälper, smart beteende på nätet hjälper, bra säkerhetsprocesser och rutiner som förstärks av säkerhetsprogram för småföretag i världsklass som LanScope Cat *hjälper*. Ingen lösning kommer att lösa allt, men smarta människor med bra verktyg och utbildning kan göra din organisation till ett mycket svårare mål.