Lösenord är inte längre tillräckligt för att skydda uppgifter

Lösenord har funnits i 50 år och på Lösenordsbytardagen är det aktuellt igen att ta upp igen att lösenord är passé. Vi måste hitta något nytt och på senare tid har svaret allt oftare varit tvåfaktorsautentisering.

I går skrev jag ett inlägg om att det är onödigt, meningslöst och ibland väldigt kostsamt att tvinga folk att byta lösenord. Lösenorden är oftast inte tillräckligt säkra. Jag går faktiskt så långt att jag hoppas att lösenorden snart är utrotade. Men vad ska vi ha istället?

För varje gång det sker ett lösenordsläckage talar sig säkerhetskollektivet varmt om vikten av lösa problemet med lösenordshantering och -läckage. Många är de kloka hjärnor som letar efter en lösning på problemet, och på senare tid är svaret allt oftare tvåfaktorsautentisering.

Kräver mer men är mödan värt

Flera av de största webbplatserna erbjuder idag den typen av autentisering men de är fortfarande i minoritet. Som kund och användare kan du hjälpa till och påskynda utvecklingen genom att faktiskt fråga efter det, och ställa krav på att det ska vara användarvänligt. Även om det kräver lite mer av dig som användare är det värt mödan tack vare den högre säkerhet som det medför.

Det första lösenordet i historien för att logga in på en dator sägs ha uppfunnits 1961 av Fernando Corbató för att skydda konton på MIT:s Compatible Time Sharing System (CTSS). Ett år senare hackades systemet och lösenorden stals av en forskare på MIT, Allan Scherr, som behövde mer tid än han tilldelats för att genomföra bearbetningar på CTSS.

23 konton men bara sex lösenord

Källan till dessa historiska fakta står att finna i Telesign:s rapport från juni 2016 med titeln Beyond the Password: The Future of Account Security. TeleSign-rapporten visar också att normalanvändaren har ett genomsnitt på 23 konton men bara använder sex olika lösenord för att skydda dem.

2,2 miljoner uppgifter exponerades 2016

Det finns lite olika uppgifter om omfattningen av dataintrång, men i en artikel hävdas att det 2016 inträffade 3 000 kända dataintrång som exponerade 2,2 miljarder uppgifter av olika karaktär. Röjda lösenord var ingångsporten till många av dessa attacker, i grunden för att många användare regelbundet återanvänder samma lösenord på flera sajter vilket gör dessa konton särskilt sårbara för intrång.

Förlusten blir många miljoner

Här står vi nu mer än 50 år efter tillkomsten av det första lösenordet med verksamheter som drabbas av intrång med förluster i storleksordningen många miljoner kronor som följd när angripare med användning av social ingenjörskonst kommer över information som de behöver för att få åtkomst till användarnas kontouppgifter.

Lösenord är inte tillräckligt

Låt oss hoppas på att lösenorden kommer att hamna på listan för utrotningshotade arter innan detta decennium är slut. Lösenord är inte längre tillräckligt för att skydda konton. Det här är vad jag tror:

  • Bedrägerierna kommer att bli allt fler och konsekvenserna allt större.
  • Flerfaktorsautentisering blir standard.
  • Användningen av beteendebaserade biometriska metoder, som tangenttryckningar, skärminteraktion med mera, kommer att växa dramatiskt.
  • Majoriteten av alla företag kommer att använda tvåfaktorsautentisering inom en tolvmånadersperiod.

Intrång kostar mer än säkerhet

Det som får de flesta verksamheter att avstå från att implementera modernare tekniker för autentisering av användare är kostnaderna. Det finns få saker som slår användaridentitet och lösenord när det gäller kostnader och enkelhet, både att införa och att använda. Det är korrekt att säkerhet kostar, men det är också korrekt att intrång kostar ännu mer. Långt mycket mer.

Etiketter: , , , ,
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.