Lösenorden är för svaga 21 oktober 2019

Lösenord fortfarande svag länk – nya tekniker krävs

De flesta är rörande överens om att IT-säkerhet är av allra största vikt för en organisation – inte minst för alla som hanterar personuppgifter eller någon form av affärskritisk information. Trots det är det fortfarande allt för många som brister i ett så grundläggande proaktivt arbete som lösenordsrutiner och åtkomsthantering. 

Dagens IT-värld är oändligt mycket mer komplex än för bara några år sedan. Vi använder allt fler enheter och allt fler nätbaserade tjänster i såväl privatliv som arbetsliv. En enskild genomsnittsanvändare har i dag oftast ett flertal mailkonton, en uppsjö sociala medier-konton och använder flera olika tjänster för streaming av musik och video. Till detta kommer förstås otaliga samarbetsytor, lagringstjänster, chattverktyg och molnlösningar.

Alla dessa platser och tjänster måste givetvis skyddas mot obehörig åtkomst. Men i det avseendet har vi – minst sagt – en hel del problem och utmaningar att ta itu med. Och allting börjar förstås med hur vi hanterar inloggning och åtkomst till alla dessa – ofta vitt skilda – platser med olika grad av kritisk information, krav och attraktionsvärde för cyberkriminella. 

I takt med att antalet tjänster och plattformar vi använder har ökat, har också utmaningarna med att skydda oss själva blivit större och allt mer komplexa. Därför är det inte konstigt att vi också börjat fokusera mer på nya lösningar för inloggning och autentisering. Men, biometriska lösningar och flerfaktorsautententisering i all ära – det vanliga lösenordet som vi själva knåpar ihop är fortfarande det absolut vanligaste sättet att logga in. Och vid det här laget är vi därför minst sagt vana att se och höra skräckinjagande uppmaningar om att vi måste stärka våra lösenord, byta dem frekvent och inte använda samma lösenord på flera platser. 

Många byter aldrig lösenord

I en stor undersökning utförd av den tyska e-postoperatören GMX (Global Mail eXchange) framgår att var tionde svarande uppger att de aldrig någonsin bytt lösenord till sitt e-postkonto – något som är minst sagt häpnadsväckande ur ett säkerhetsperspektiv. Inte minst med tanke på att just e-postkonton i mångt och mycket står i centrum för våra digitala liv. Om en hackare har tillgång till ett e-postkonto kan de snabbt ta över resten av en användarens digitala konton genom att använda e-postkontot för att återställa alla dina lösenord. Många av dessa konton lagrar dessutom ditt kreditkort eller bankinformation.

I undersökningen framgår också att hela 21 procent av de tillfrågade använder personlig (lättåtkomlig) information som till exempel sina favoritfotbollslag, sitt husdjurs namn eller familjemedlemmars födelsedagar för sina lösenord. Detta är förstås särskilt riskabelt eftersom denna typ av information ofta visas öppet på sociala medier. 

45 procent av de tillfrågade användarna uppger att de använder specialtecken som @ eller $ i sina lösenord, medan 32 procent uppger att deras lösenord innehåller färre än åtta tecken, vilket markant ökar risken för att lösenorden knäcks. 35 procent av användarna har 8-10 tecken, medan bara 16 procent är så pass säkerhetsmedvetna att de använder över tolv tecken. 

Många konton försvårar kontrollen

En problematik som uppstår på grund av att vi använder allt fler konton och tjänster, är förstås att det kan vara svårt att komma ihåg lösenord (och ännu svårare att komma ihåg att byta dem med jämna mellanrum). 43 procent av de tillfrågade användarna beskriver antalet olika lösenord som de måste komma ihåg som ”överväldigande”. Vidare uppger 36 procent att de har mellan 5 och 10 olika onlinekonton som de loggar in på regelbundet och 27 procent har mellan 10 och 50 konton. 19 procent erkänner att de blir utelåsta från ett konto minst en gång i månaden på grund av för många felaktiga försök att få åtkomst till det. 

40 procent av användarna i GMX:s undersökning menar att de ”kommer ihåg” sina lösenord, medan var femte begår dödssynden att skriva ner alla sina lösenord på papper. Endast 8 procent använder en lösenordshanterare medan 4 procent använder en single sign-on-tjänst som Facebook eller Google och 1 procent uppger att de lagrar sina lösenord på ett dokument i molnet. 

Och det är – milt uttryckt – tydligt att användare tycker att det är stressande att komma ihåg lösenord – 8 procent upplever till och med problemen med att hålla koll på alla sina lösenord som mer stressande än en skilsmässa eller byte av jobb. Allt ovanstående bidrar givetvis till att många återanvänder lösenord på många platser, och sällan ändrar dem. Nästan en tredjedel av de tillfrågade säger sig trots detta föredra att fortsätta använda lösenord framför biometrisk autentisering. 

Svårt både privat och på jobbet

Även i den stora undersökningen The 2019 State of Password and Authentication Security Behaviors utförd av Ponemon Institute, på beställning av Yubico, bjuds vi på dyster läsning om säkerhetsläget kring lösenord. Det är till att börja med tydligt at många faktiskt drabbas av olika typer av säkerhetsincidenter – 44 procent uppger att de utsatts för nätfiskeattacker på arbetsplatsen, och 12 procent har fått inloggningsuppgifter stulna. 

56 procent av de tillfrågade anser att det är för svårt att hantera all lösenord de använder privat, och nästan lika många (50 procent) anser samma sak om lösenordshanteringen i jobbsammanhang. På frågan om hur ofta lösenord återanvänds visar det sig att detta sker i genomsnitt fem gånger och hela 26 procent uppger att det återanvänder sina lösenord fler än sex gånger. Med ovanstående i åtanke är det därför föga förvånande att 57 procent säger att de i framtiden skulle föredra inloggningsmetoder som inte alls involverar lösenord.  

Var tionde saknar strategi för åtkomst

En majoritet, men ändå mindre än 7 av 10 av de tillfrågade i Ponemons undersökning uppger att deras organisationer har vidtagit åtgärder som till exempel krav på regelbundna byten av lösenord (69 procent), krav på minimilängd och komplexitet på lösenord (63 procent), förbud mot att återanvända gamla lösenord (63 procent), utdelning av automatiskt genererade lösenord (54 procent) eller erbjudit en alternativ metod för att komplettera vanliga lösenord (40 procent). Mer än var tionde (13 procent) menar att deras organisation inte implementerat någon av ovanstående lösningar för att öka säkerheten kring lösenord. 

Mindre än var femte svarande (18 procent) uppger att de använder en lösenordshanterare, medan 53 procent menar att de förlitar sig på sitt minne. 32 procent sparar lösenord i sin webbläsare och 26 procent skriver ner dem i textdokument eller kalkylblad som sparas lokalt eller på en server. Slutligen den allra största käftsmällen för alla säkerhetsmedvetna: ytterligare 26 procent uppger att de skriver ner sina lösenord för hand på pappersark eller post-it-lappar. 12 procent uppger också att de ofta delar lösenord med kollegor och 33 procent medger att de gör så ibland, medan färre än var tredje svarande (31 procent) menar att detta aldrig sker. 

Vad gäller flerfaktorautentiseringen är det absolut vanligaste teknikerna att användaren får en kod skickad via sms (35 procent) eller att användaren loggar in via en säkerhetsapp i sin telefon (30 procent). 23 procent uppger att de använder annan specifik fysisk lösning för autentiseringen, så kallade ”tokens”. 

Många delar lösenord med partner

Liknande resultat finner vi även i en annan färsk undersökning, döpt till United States of Passwords, som Google sammanställt i samarbete Harris Poll. Endast 37 procent av de tillfrågade i den studien uppger att de använder flerfaktorsautentisering och knappt var tredje, 34 procent, säger att de regelbundet ändrar sina lösenord. Endast 18 procent säger sig använda en lösenordshanterare.

52 procent erkänner att de delat lösenord med någon annan, varav 57 procent gjort det sin partner – samtidigt som endast 11 procent uppger att de ändrat dessa lösenord efter ett uppbrott (50 procent säger att de i dagsläget har ett aktivt lösenord till någon annans konto). Ännu allvarligare är att mer än hälften (55 procent) av de tillfrågade menar att de inte skulle bry sig om att byta lösenord ens efter att ha fått vetskap om ett potentiellt dataintrång. 

Risker även med flerfaktorsautentisering

Just flerfaktorsautentisering har – trots den till synes låga antagningsgraden ovan – faktiskt blivit ett allt mer populärt sätt att skapa ett extra säkerhetslager kring webbaserade inloggningar. Ofta bygger det på användandet av en mobil enhet och att användaren ger webbtjänsten tillgång till sitt telefonnummer. Vid inloggning genereras en slumpmässig sifferkod som skickas till användarens telefon och sedan används för att inloggningens andra steg ska kunna godkännas. 

Detta låter på papperet onekligen som mer robust än enbart ett lösenord som användaren själv knåpat ihop, och flerfaktorsautentisering har också rekommenderats av flertalet av världens nätjättar – men dessvärre har tekniken en del mycket allvarliga brister. Till exempel pekar FBI i en färsk rapport på flera fall där intrång har skett trots att flerfaktorsautentisering varit aktiveras. Cyberkriminella har på ett i ärlighetens namn pinsamt enkelt sätt lyckats komma åt olika konton genom att först beställa nya simkort kopplade till sina måltavlors telefonnummer och sedan använt dessa för att komma åt den säkerhetskod som genereras genom flerfaktorsautentiseringen för att slutligen logga in på exempelvis ett bankkonto.

Och som om det inte vore nog att det går att runda flerfaktorautentisering genom att fiffla med simkort – FBI varnar dessutom för att illasinnade hackare nu också använder två nya verktyg för att enkelt komma åt information som är skyddad av tvåfaktorautentisering. Det ena verktyget automatiserar nätfiskeattacker medan det andra gör det möjligt att kapa en legitim autentiseringssession. Dessa verktyg kan användas tillsammans för att stjäla offrens inloggningsuppgifter utan att offret ens märker att det händer.

Mobilen ett riskområde

Ett färskt exempel på riskerna med flerfaktorsautentisering är förstås hur Twitters grundaren och vd Jack Dorsey fick sitt Twitter-konto hackat genom att angripare överförde hans telefonnummer till ett annat konto utan Dorseys vetskap. Angriparna övertygade Dorseys telekomleverantör att kringgå gällande rutiner för simkortsbyte, vilket vanligtvis kräver ett lösenord för att ändra ett konto. När telefonnumret väl överfördes tog angriparna kontroll över Twitter-grundarens konto. Om telekomleverantören hade agerat enligt ”zero trust”-principen för mobila enheter skulle angreppet aldrig kunnat ske.

Den senaste tiden har många liknande incidenter inträffat, vilket också påvisat hur potentiellt lätt det kan vara för hackare att få tillgång till molnbaserade företagsnätverk genom mobila enheter. Verizons Mobile Security Index 2019 avslöjade att majoriteten av företagen (67 procent), menar att deras största säkerhetsområde är just mobila enheter. Detta kan vara oroväckande, med tanke på att allt fler människor numera förlitar sig på sina smartphones för identifikation.

I en ny undersökning gjord av IDG i samarbete med MobileIron, med titeln Say Goodbye to Passwords, framgår att 89 procent av IT-säkerhetsansvariga tror att mobila enheter inom kort kommer att fungera helt och hållet som de anställdas digitala ID för åtkomst till företagstjänster och data. Därför menar många att framför allt molntjänster har mycket att vinna på ett ”döda lösenordet” till förmån för andra tekniker för identifikation och autentisering.

Är biometrisk säkerhet lösningen?

Med tanke på denna utveckling av tekniker som kan knäcka flerfaktorsautentisering, menar både FBI och många säkerhetsforskare att alla tjänster som hanterar finansiell eller på andra sätt kritisk information i stället bör satsa på biometriska funktioner för det andra stegets godkännande, något som rent tekniskt bör vara lätt att implementera med tanke på att dagens smartphones i de allra flesta fall redan har sådan teknik i sig.

Ett annat viktigt proaktivt arbete är förstås att hjälpa användare att bli bättre på att identifiera falska e-postmeddelanden och webbplatser – allt för många faller fortfarande offer för såväl simpla som mer sofistikerade nätfiskekampanjer.

Till exempel kan det handla om att öka medvetenheten om hur e-postavsändare och webbadresser kan förfalskas genom att bara byta ut några tecken eller använder subdomäner som ser genuina ut. Ni bör även ha som företagspolicy att aldrig kommunicera lösenordsåterställningar eller känslig information över e-post, genom att kontinuerligt informera alla anställda om att detta gäller så kommer de (förhoppningsvis) instinktivt att reagera om de får sådana förfrågningar via e-post, vilket minskar risken att uppgifter kommer i orätta händer.

Men även om du gjort allt som står i din makt för att förebygga problemen med lösenord och har en strikt åtkomsthantering, så kan olika typer av nätfiske och intrång ändå lyckas. Om detta skulle, är det viktigt att du har en beredskap på plats som gör att du kan fortsätta att kommunicera och koordinera inom organisationen även om ditt nätverk är komprometterat.

Best practice för dina lösenord

Men, för dig som ännu inte implementerat biometriska lösningar eller någon form av flerfaktorsautentisering gäller det att åtminstone se till att alla lösenord är så säkra som möjligt. I undersökningen från GMX som vi nämnde i inledningen, rekommenderar mailleverantörens säkerhetsexperter följande fyra grundregler vid val av lösenord:

• Använd unika lösenord för varje konto. 
• Lösenord bör vara minst åtta tecken långa och innehålla specialtecken, små bokstäver och stora bokstäver, siffror och symboler om det är tillåtet. 
• Lösenord bör vara svåra för andra att gissa, och inte baseras på information om dig som går att hitta på nätet eller som är känd för vänner eller kollegor. 
• De allra bästa lösenorden genereras slumpmässigt och finns inte i en ordlista. 

Vill du skaffa bättre koll på huruvida ditt lösenord är säkert, eller om det förekommer i någon av de otaliga databaser som hackats, så har Google nyligen lanserat Password Checkup, ett tillägg till Chrome som nyligen också integrerades i lösenordshanteraren för alla Google-konton. Verktyget kontrollerar automatiskt eventuella säkerhetsproblem för alla sparade lösenord och visar dem i tre kategorier:

• Lösenord som har äventyrats i en känd säkerhetsincident, vilket kan innebära att någon annan har tillgång till användarnamn och lösenord och kan logga in på ditt konto.
• Lösenord som återanvänds på olika webbplatser. Om någon kommer över ditt lösenord till en plats kan de också använda det för att logga in på dina andra konton.
• Lösenord som klassificeras som svaga och därför bör ändras, eftersom de potentiellt enkelt kan gissas av angripare.

Vill du testa hur väl rustade dina anställda (och du själv för den delen) är för att identifiera och stå emot nätfiskeattacker, så kan du spana in Sonicwalls Phishing IQ Test.

Läs vidare
Visa alla artiklar