Cybersecurity Awareness Month

Tilbake

Vi ser nærmere på hvorfor passord fortsatt er et svakt punkt for mange virksomheter, hva passordutmattelse egentlig handler om, og hvordan bedre rutiner og verktøy som passordbehandlere og multifaktorautentisering kan gjøre hverdagen tryggere.

Skrevet av:
Håkon Hesselberg Hålu
,

Oktober er måneden for skumle ting. Ikke bare er det halloween, men det er også Cybersecurity Awareness Month. I så fall er det verdt å bli kjent med noen skumle fakta: 61% av datainbrudd er forårsaket av stjålne påloggingsopplysninger.

Vi vet alle at passord er viktige, og vi bryr oss om å holde informasjonen vår sikker, men det kan være vanskelig å holde oversikten og ha full kontroll i en kaotisk hverdag. La oss se litt nærmere på hva vi ber oss selv og hverandre gjøre: En gjennomsnittlig person må holde styr på rundt 191 forskjellige passord.

Passordutmattelse


91% av oss forstår risikoen med å gjenbruke passord, men 59% gjør det uansett! Uheldigvis er dette alt for vanlig. Hvis vi ikke har et godt system på det, er det nesten umulig å huske så mange forskjellige passord, som gjerne også har en del krav til k0mplex!tet. Så hva blir konsekvensen av dette? Vi er mennesker, ikke passord databaser, så da tilpasser vi oss: 51% av folk verden over bytter mellom bare fem forskjellige passord. I Norge bruker tre av fire samme passord mellom forskjellige tjenester, mens 8% bruker nøyaktig samme passord overalt!

Dette skjer ikke fordi man ikke bryr seg eller er for lat. Dette er kjent som passordutmattelse og er et systematisk problem, ikke et menneskeproblem.


Fra passord123 til passord1234

Det føles kanskje kontraintuitivt, men når vi må bytte passord hver 90 dag så blir ting faktisk mindre sikkert, ikke mer.

De fleste av oss har nok opplevd å gjøre klar for en ny dag på jobb, for å så bli møtt med en varsling om at det er på tide å oppdatere passordet vårt. Passord123 blir til passord1234. Det må være lett nok til at vi husker det. Kanskje vi skriver det ned på en post-it eller holder oss til et fast system. National Institute of Standards and Techology (NIST) anbefaler ikke å regelmessig endre pasord, med mindre det finnes bevis på at passord kan være lekket. Nasjonal sikkerhetsmyndighet (NSM) er enig, og påpeker at passordrotasjon bare dytter folk mot svakere passord.

Lengde over kompleksitet

NIST's anbefaler passord lengde over kompleksitet, og matten støtter dette.

Diagrammet under gir en god oversikt over hvor lang tid det tar å finne et passord basert på lengde og kompleksitet.


Allikevel bruker 24% av alle i USA passord som “abc123” eller “123456”. I Norge er de vanligste passordene "qwerty123", "qwerty1", "123456", "123456789", og "passord". Alle disse passordene kan brytes i løpet av et sekund.

Vi kan se at løsningen ikke er å legge til spesielle tegn eller tvinge bruk av store og små bokstaver, men å øke lengden på passordene.

XKCD #936

Som vi kan se i tegneserien så kan lengre passord både være enklere å huske, i tillegg til at de er eksponensielt tryggere enn P@ssw0rd1!. NSM anbefaler passord som er lett å huske, lengre og gjerne med bruk av dialekt.

Passordbehandler

Løsningen på disse problemene består av to deler. Den første av dem er en passordbehandler, et digitalt nøkkelknippe også kjent som password manager. Disse verktøyene er designet for å gjøre det hjernene våre ikke er så gode på: generere, lagre og automatisk fylle inn unike og  komplekse passord for hvert enkelt innloggingsalternativ. Multifaktor autentisering

Selv det sterkeste passordet er bare ett lag med forsvar, og uansett lengde og kompleksitet så hjelper ikke det hvis passordet lekkes ut til den vide verden. Legger man derimot til et eller flere ekstra lag, kjent som to-faktor autentisering eller multifaktorautentisering, kan man redusere uønsket tilgang med 99.9%.

Dette kan for eksempel gjøres i form av en autentiseringsapp eller med biometri. Mengden ekstra autentisering avhenger av trusselbildet og konsekvens av databrudd, men burde definitivt aktiveres på nøkkeltjenester.

Sånn til slutt

Passord er bare et av mange elementer vi må ta hensyn til når det kommer til sikkerhet. Man er bare så trygg som sitt svakeste ledd, så sørg for å ha et helhetlig bilde av trusselsituasjonen, og hvilke steg som må tas for å gjøre organisasjonen vår så sikker som nødvendig.

Her i Miles bruker vi 1Password, og burde brukes av absolutt alle ansatte. Det kan integreres i nettleser og diverse enheter, og kan brukes både til passordgenerering og lagring, MFA og single sign-on.

Passord er kanskje bare et element, men også et av de viktigste. Har vi gode rutiner på plass og trygge verktøy som er enkle nok å bruke til at folk faktisk bruker dem, så unngår vi den skumle statistikken vi startet med.

PersonvernEtiske retningslinjer
Vi bruker ikke cookies til sporing :)
Org nr. 988 340 316
Dette gjør vi
Kundecaser
Artikler
Om oss
Kontakt oss
Jobb hos oss
Herfra kan det bare gå en vei, oppover :) 
© 2025 Miles AS