Lösenordshygien 2020 - Cygate
Cystore

Lösenordshygien 2020

För World Password day den 7 maj 2020 har Cygates cybersäkerhetsexpert satt samman våra bästa rekommendationer för individen och organisationen kring frågan om identifiering.

Identifiering – att kunna visa vem man är, blir allt viktigare. Historiskt, när organisationer hanterade sin information i interna IT-miljöer som inte var tillgängliga för omvärlden var tillgång till systemen en betydande del av säkerheten, i och med att IT-miljön bara var tillgänglig för de som fysiskt befinner sig inom organisationen. Digitaliseringens framfart, möjligheten att dra nytta av innovation och nya leveransmodeller har resulterat i att stora delar av organisationens information nu lagras i olika typer av tjänster, vilka finns tillgängliga oavsett var användaren befinner sig. Här finns inte längre samma säkerhet i och med att tjänsten då ofta är tillgänglig för vem som helst med en Internet-uppkoppling.

Organisationen behöver därför höja säkerhetsnivån genom att förstärka identifieringen, t.ex. genom att identifiera användare med två faktorer – något användaren har och något användaren vet, t.ex. en app på en mobiltelefon och en PIN-kod precis som ofta identifierar oss när vi deklarerar eller gör bankärenden. Cyberattacker med stulna lösenord är det absolut vanligaste sättet att angripa organisationer och säkerhet är ju som bekant en kedja som inte är starkare än den svagaste länken…

Lösenordshygien för individen:

  1. Unika lösenord: Återanvänd inte samma lösenord på flera platser – Precis som vi använder olika borstar hemma: Vi använder inte samma borste för att borsta tänderna som att köra rent badrummet.
  2. Hantera lösenord: Slipp manuell hantering och hästminne använd en s.k. lösenordshanterare (eng. Password Manager) som hjälper dig skapa olika och säkra lösenord för varje tjänst.
  3. Stärk din inloggning: Identifiera dig på ett säkert sätt, helst med två faktorer (något du har och något du kan) för de tjänster som hanterar detta.
  4. Använd inloggningstjänster: Flera stora tjänsteleverantörer (t.ex. Google, Facebook och Apple) gör det möjligt att logga in till andra tjänster med inloggningstjänster. Du har då bra möjlighet att överblicka vilka andra tjänster du använder samt få larm om de används av obehöriga.

Identifieringshygien för organisationen:

  1. Styr med policy: Uppdatera interna regelverk och rutiner med moderna krav på säker identifiering. Lösenord skall inte bytas ofta eller vara för långa då forskning visar att detta är kontraproduktivt (ref. NIST 800-63B)
  2. Praktiska rutiner: Översätt policy med praktiska råd och checklistor med hur användare och systemägare skall arbeta identifiering. Kan identifiering automatiseras för att förenkla för medarbetaren och samtidigt höja säkerheten?
  3. Samordna identifiering: Samordna och återanvänd central identifiering, t.ex. med centrala katalogtjänster och förenkla användarupplevelsen med automatisk identifiering där det är möjligt.
  4. Stärk identifiering: Aktivera funktioner för identifiering med två faktorer för extern access, access till känsliga system samt för inloggning till konton med höga behörigheter.
  5. Hantera administrativ tillgång: Säkerställ att inloggning med höga behörigheter och administrativ tillgång sker med användarunika uppgifter. Använd lösningar för att hantera privilegierad och administrativ tillgång, det gör att medarbetare bara använder höga behörigheter i system vid just de tillfällen detta behövs samt att medarbetare använder en identitet inom organisationen som tilldelas de rättigheter de behöver för en viss uppgift..