Den 22 november förra året sände Sveriges Television programmet ”Läckta lösenord” som en del av programserien ”Dold”.
Programmet visade att stora mängder lösenord som var kopplade till svenska användarkonton finns tillgängliga på listor som publicerats av hackers. Ursprunget var från digitala intrång i olika publika tjänster som t ex Tumblr, Dropbox, LinkedIn. SVT skapade en tjänst för användare att kontrollera om deras användarnamn och lösenord fanns bland den sammanställda information. Tjänsten var publik på adressen https://dold.svt.se/ och under de 9:e dagarna som den var tillgänglig hade den nästan 2 miljoner unika besökare som kontrollerade om deras konton fanns där. Bolaget Yahoo gick den 14 december 2016 ut med att man vid ett hackers kommit över 1 miljard konton vid ett intrång 2013.
Att historien runt intrång kommer att upprepa sig är tyvärr en realitet, och ju längre digitaliseringen av vårt samhälle kommer, desto mer värden går det att komma över. När belöningen för ett lyckat intrång blir större, ökar sannolikheten att någon försöker och eventuellt lyckas. Det är alltså idag av största intresse för alla säkerhetsansvariga att arbeta med säker lösenordshantering.
Utmaningen med lösenordshantering
Sett ur ett företagsperspektiv är det en teknisk utmaning att jobba preventivt. Den totala tekniska plattformen är idag väldigt fragmenterad med tjänster som finns både lokalt och i molnet. Vi använder oss av mobila enheter, och arbete och fritid flyter ihop. Detta skapar särskilda problem eftersom användare återanvänder lösenord på flera tjänster, såväl privat som på arbetet. Det är idag inte möjligt att rent tekniskt tvinga en användare att inte använda samma lösenord om och om igen, även om det finns lösningar som täcker vissa behov. Däremot går det att informera och utbilda, även om det i slutändan alltid är människan som är den svagaste länken.
Preventiv teknik i fem steg
Även om utmaningen kan verka stor, finns det en rad preventiva tekniska tillvägagångssätt som du som säkerhetsansvarig kan och bör ta till;
- Implementera en lösning för lösenordsregler (password policy) som guidar användaren till skapandet av starka lösenord, samt blockerar användningen av läckta lösenord eller ord från ordböcker.
- Komplettera med en lösning för lösenordsåterställning med självbetjäning så att användarna kan återställa sina lösenord helt på egen hand . Se till att du har flerfaktorautentisering på plats för denna tjänst, så att ett starkt lösenord inte blir svagt på grund av processen.
- Inför flerfaktorsautentisering för andra tjänster, det finns en uppsjö av olika typer som passar olika behov. Välj en lösning som utgår från risknivåer, dvs som gör att du har möjligheten att anpassa säkerhetsnivån beroende på tjänsten och användaren.
- Utforska möjligheten att använda identitetsfederationer som minskar antalet lösenord som behövs, och förenklar för användaren. Tänk dock på att kontrollera att din Identity Provider (IdP) kan hantera olika typer av autentisering.
- Utöver identitetsfederationer, utforska möjligheten att använda Single Sign-On, eller mer rätt Reduced Sign-On, som förenklar för användaren.
- Om en användare inte är lokal administratör utan vanlig användare minskar risken att skadliga program, som tex keyloggers, kommer in i systemet.
Reaktivt arbete – inom och utom din kontroll
Det preventiva arbetet skapar en bra grund, men du måste också se till att du har en bra reaktiv plan. Du behöver snabbt upptäcka om dina användares lösenord används på ett felaktigt sätt – både inom din kontroll, dvs din egen IT-miljö, men också utanför din kontroll. Här handlar det om;
- Övervaka interna avvikande beteenden, med liknande metoder som kreditkortsföretag och banker använder sig av när de kontrollerar avvikande transaktioner.
- Ha en lösning på plats som tillåter dig att omgående tvinga användarna att byta lösenord eller be om en tillfällig flerstegsautentisering.
- Följ det som är utom din kontroll, t.ex. när en extern tjänst blir hackad. Ett exempel på en tjänst som du kan använda för att kontrollera om dina användares kontoinformation kan vara på vift är “Have I been pwned?“. Även om tjänsterna inte är helt tillförlitliga och de bygger på historisk information, ser jag dem som en relevant pusselbit.
