Ansvaret för lösenordshantering vilar tungt – på användarna

I skrivande stund är det den 20 januari, den årliga lösenordsbytardagen. Nu har vi ju redan enats om att byten av lösenord med tät frekvens är kontraproduktivt. Däremot är det nyttigt att någon gång per år ta sig en funderare kring hur lösenord hanteras, både av den som är användare och av den som är IT-ansvarig i en verksamhet. Då passar den här dagen lika bra som någon annan dag.

  • Lösenordsparadoxen lyder: Du vet att det är dåligt men du gör det i alla fall.
  • Risken? Det är bara ett lösenord som står mellan dig och din information på nätet.
  • Ett starkt lösenord är ett unikt lösenord – ingen i hela världen ska ha valt samma.

Arbetsgivare vet att de har ett problem men gör väldigt lite åt det

Det är ingen hemlighet att de allra flesta verksamheter har problem med lösenordshantering, ändå är det få som vidtar några åtgärder för att förbättra situationen. De allra flesta överlåter valet och hantering av lösenord till sina medarbetare. Det man möjligen gör är lägger in tekniska begränsningar som ibland är utformade så att de gör ont värre, trots att vi vet att det är användarna som är den svagaste länken i kedjan.

I en undersökning från Lastpass medger minst hälften av de tillfrågade att lösenord påverkar deras produktivitet. Det är fortfarande väldigt vanligt med manuella rutiner för tilldelning av lösenord vilket gör att många verksamheter tvingas lägga mycket tid på supportärenden. Lastpass är en leverantör av lösenordshanterare och därmed part i målet. Men undersökningen visar på några viktiga slutsatser.

Medarbetare använder molntjänster, utanför verksamhetens kontroll

It-avdelningar har i allmänhet mycket begränsad kontroll över vilka molntjänster (SaaS) som används i verksamheten. Idag har det blivit väldigt lätt att ladda ner och installera appar som en användare hittar och tycker sig behöva. Samtidigt inser de flesta IT-ansvariga vilka risker som den bristen på kontroll innebär. Tyvärr leder inte den vetskapen till någon aktivitet för att förbättra situationen. En risk med detta är att användarna återanvänder samma lösenord till externa tjänster som de använder till kritiska, interna tjänster. Om någon hackar molntjänsten så kan lösenorden vara på vift.

Vem får bära ansvaret för lösenordshanteringen? Användarna!

En majoritet av användarna har regelbundet problem relaterade till hanteringen av lösenord, många så ofta som varje månad. De problem som användarna upplever som störst är i fallande ordning:

  • De tvingas att byta lösenord regelbundet
  • De måste komma ihåg många olika lösenord för att komma åt applikationer vilket förstärks av både avsaknaden av Single Sign On och lösenordshanterare
  • Svårt att hitta på komplicerade lösenord som möter verksamhetens krav
  • Har ingenstans att förvara sina lösenord på ett säkert sätt

Fortfarande ovanligt med lösenordshanterare

Även om den här undersökningen pekar på att 24 procent av IT-cheferna har infört möjligheten att använda lösenordshanterare är det 37 procent som har helt manuella rutiner. Det finns dessutom verksamheter som ens inte tillåter användning av lösenordshanterare, av någon anledning. Detta ska ställas i kontrast till medarbetarnas åsikt, där 69 procent säger att de skulle använda en lösenordshanterare om de fick.

Verksamheter förlitar sig på regler och utbildning – inte lösningar

På frågan vad IT-ansvariga gör för att se till att användare väljer starka lösenord är det förvånansvärt många som enbart förlitar sig på användarutbildning. De informerar medarbetarna om hur lösenord ska se ut med siffror, bokstäver och specialtecken.

Att dela lösenord med varandra innebär också att ta stora risker och är något som ska undvikas. En del arbetsgivare har regler som förbjuder det, men det är väldigt svårt att kontrollera efterlevnaden av sådana regler, precis som regler om att en medarbetare inte får återanvända lösenord på jobbet som de använder på andra tjänster privat.

Idag finns det en hel del tekniska lösningar och kontroller som skulle understödja de regler och krav som verksamheten har. Utveckla en strategi med verktyg som stödjer användarna i deras dagliga arbete. Ingen vinner på att det är svårt och krångligt.

Inloggning med sociala media-konton

Det blir allt vanligare att tillåta inloggning till affärssystem med hjälp av sociala media-konton. ”Logga in med Facebook”-alternativet är en allt vanligare syn. Det går alltså att använda sitt Facebook-konto för inloggning på andra webbplatser och applikationer, även på jobbet. Grunden är att man använder Facebooks plattform och därmed måste följa de riktlinjer som gäller. Det är viktigt att kontrollera att det öppnas ett separat fönster i webbläsaren när man klickar på inloggningsknappen, och att webbadressen för det fönstret innehåller rätt domän så att det är en giltig Facebook-sida och inte ett försök till nätfiske. Metoden kan i vissa fall vara att föredra då vi ändå ser att många företag, stora som små, brister i hanteringen av inloggningsuppgifter. Samtidigt innebär det att information om användarbeteenden samlas hos en och samma aktör.

Gör något och gör det nu

Den som är ansvarig för IT och lösenordshantering behöver lyfta lite av det tunga ansvaret från användarnas axlar. Användarutbildning är fortfarande viktigt – en informerad användare är en bra användare och förhoppningsvis slipper du scenariot där användaren säger att de inte visste att det de gjorde var en säkerhetsrisk.

Men vad händer den dagen de måste få något gjort snabbt och det inte fungerar som det ska av någon anledning, eller de har glömt lösenordet och det enklaste sättet är att dela lösenord med någon annan? I den situationen överträffar behovet av att vara produktiv det att vara säker, och det kan vara fatalt för verksamheten.

En enkel lösning på problemet är god lösenordshygien, och att inte tillåta kortare lösenord än 12 tecken med vissa krav på komplexitet.  Tillåt samtidigt en lägre grad av komplexitet ju längre lösenord som väljs. Uppmuntra till byten när det behövs, det måste styras av en riskbedömning.

Här är listan med 2017 års sämsta lösenord:

  • 123456
  • Password
  • 12345678
  • qwerty
  • 12345
  • 123456789
  • letmein
  • 1234567
  • football
  • iloveyou
  • admin
  • welcome
  • monkey
  • login
  • abc123
  • starwars
  • 123123
  • dragon
  • passw0rd
  • maste
  • hello
  • freedom
  • whatever
  • qazwsx
  • trustno1
Artikeln har inga etiketter Foto: Computer login av Christiaan Colen (CC BY-SA)

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.