Størstedelen af alle cyberangreb sker stadig på grund af dårlige passwords, og derfor er dette en både effektiv og lavpraktisk måde at sikre sig selv og sin arbejdsplads endnu bedre. Men der er langt mellem de gode passwords i de danske virksomheder.
“Henrik1234”
Der er alt for mange dårlige passwords, når danskerne logger på deres arbejdscomputere og de mange systemer, de bruger i løbet af deres daglige arbejde. Faktisk er vi så dårlige til passwords, at de er skyld i over 80 procent af alle cyberangreb på verdensplan.
Alligevel viser de årlige opgørelser hvert eneste år, at både private og virksomheder stadig er for dårlige til at fremme en sund it-sikkerhedskultur omkring god omgang med kodeord. Det konkluderer tre forskellige it-sikkerhedseksperter fra henholdsvis cybersikkerhedsvirksomheder KnowBe4, Acronis og Arctic Wolf.
Hver eneste af eksperterne oplever, at selvom historier om it-nedbrud og phishing-angreb fylder meget i medierne, så rykker det ikke nødvendigvis på agendaen omkring de rette overvejelser i virksomhederne. For det er især dårlig adfærd fra privaten, som glider ind i virksomhederne.
”Folk undervurderer stadig, hvor kraftfuldt et redskab et kodeord er. Det er nøglen til alle dine personlige oplysninger, men også ofte hovednøglen direkte ind i de fleste virksomheder. Og når for mange mennesker har dårlig kodeordshygiejne derhjemme og bruger den samme kode for mange steder, så sker det også på arbejdspladsen,” siger Jelle Wieringa, it-sikkerhedsspecialist hos it-træningsvirksomheden KnowBe4.
Han bakkes op af Candid Wüest, VP for Acronis’ produktafdeling:
”Vi tror, at vi har styr på vores passwords, men langt de fleste af os bruger det samme password privat, som på bruger på job, og det gør os sårbare, både i virksomheder og som privatpersoner. Vi underkender vigtigheden af passwords og er måske ikke klar over, at det desværre kun tager få sekunder at knække et gennemsnitligt dårligt kodeord, og at bare at tilføje et symbol eller stort bogstav gør det markant sværere at knække.”
To-faktor er ikke alt, men…
IT-virksomhederne siger samstemmigt, at mange virksomheder følger de samme kodeords-policies for slavisk med automatisk krav om ny kodeord hver tredje måned, men problemet er, at brugerne bliver dovne og benytter den samme kode eller afarter af den samme kode på mange platforme, og er de it-kriminelle først inde på én platform, så kan de hoppe fra den ene til den anden uden besvær.
Netop derfor foreslår eksperterne både udbredelsen af multifaktorgodkendelse – eksempelvis via app eller en fysisk nøglebrik – og et større fokus fra it-afdelingen på bedre og forskellige koder.
”Sidste år blev multifaktorgodkendelse ikke aktiveret i 58 % af de observerede sager om kompromittering af forretningsmail (BEC). Med hundreder af millioner af legitimationsoplysninger eksponeret på det mørke web hvert eneste år, er det vigtigt at huske, at en ‘stærk’ adgangskode simpelthen ikke er nok. Selvom multifaktorgodkendelse er set blive brudt, så er det et let og afgørende redskab for at skabe bedre it-sikkerhed helt ned på brugerniveau,” siger Dan Schiappa, produktchef hos it-sikkerhedsvirksomheden Arctic Wolf.
Ligeledes foreslår alle tre eksperter at benytte en password-manager, for det er svært for de fleste at huske mange forskellige, avancerede koder på én gang.
Eksperternes råd til bedre passwords.
Benytte lange kodeord på minimum 8 anslag med mindst ét nummer, symbol og stort bogstav – og gerne med symbolet midt i kodeordet.
- Undgå at bruge dine kæledyr eller børns navne
- Del ikke dit password med nogen
- Undgå at bruge det samme password igen og igen
- Lad være at bruge tal i rækkefølge (for eksempel 123 eller abc)
- Tænk gerne kreativt med dine koder.
- Brug gerne en Password Manager til at gemme og oprette dine adgangskoder
- Brug phishing-resistent tofaktorgodkendelse, hvor det er muligt