Center for Cybersikkerhed: Alt for mange usikre hovsapasswords

Illustration: leowolfert/Bigstock
Ny vejledning beskriver angrebsmetoder og inspiration til bedre password.

»For mange it-brugere kan det (..) være en udfordring med konstant nye, lange og komplicerede passwords. Så ender vi med usikre huske- og hovsaløsninger, der i sidste ende truer den sikkerhed, passwordet skulle være med til styrke.«

Sådan skriver Center for Cybersikkerhed (CFCS) i forbindelse med offentliggørelsen af en vejledning i password.

»Falder centrale password først i uautoriserede hænder, står døren typisk åben for målrettede angreb, der kan ramme med uhyggelig præcision og effektivitet. Derfor er der god ræson i, at organisationer på alle planer og niveauer gennemtænker og justerer deres sikkerhedspolitik ift. password,« lyder det videre.

Eksempelvis er såkaldt social engineering en meget benyttet metode til at få fat i passwords, lyder det i vejledningen.

Med social engineering forsøger hackeren at lokke passwordet ud af brugeren ved f.eks. i en mail at udgive sig for en person, som modtageren kender og har tillid til.

»Typisk vil hackeren sende en mail til målet for angrebet, hvor vedkommende anmodes om at besvare mailen med oplysninger, som giver hackeren de informationer, der skal til for at kunne gennemføre et angreb. En anden metode er at sende en tillidsvækkende mail med vedhæftet malware, som bliver aktiveret og installeret på brugerens PC. På den måde kan hackeren skaffe sig adgang til f.eks. interne it-systemer med kritiske forretningsmæssige informationer,« skriver CFCS.

Andre eksempler på usikker passwordanvendelse er genbrug af password, forhåndsindstillede password i soft- eller hardware eller 'populære password' som 123456 eller qwerty.

Tjekliste og tips

Den nye passwordvejledning er ifølge CFCS et værktøj til at komme hele vejen rundt 'i gennemtænkningen af en robust tilgang til password og passwordrelaterede sikkerhedsproblematikker'.

Vejledningen indeholder ni tips og en tjekliste, der bl.a. dækker både sikker opbevaring, monitorering, drift og de menneskelige aspekter af at navigere i et komplekst landskab med skiftende passwords og sikkerhedsmekanismer.

»En god passwordpolitik - med gennemtænkte procedurer - er en af de lavest hængende frugter, man overhovedet kan høste som virksomhed eller organisation,« siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed, ifølge centrets website.

CFCS' passwordvejledning beskriver nogle af de mest anvendte angrebsmetoder, som hackere benytter sig af, og indeholder inspiration til at perspektivere de traditionelle måder at tænke passwords på.

Vejledningen er udarbejdet af Rådgivning & Akkreditering i CFCS og udformet sådan, at organisationer og virksomheder har mulighed for at overveje og vurdere implementeringen af de enkelte områder, så den passer ind i deres egen kontekst.

Link til vejledningen her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Har en del steder hvor jeg bruger password som er 10-15 år gammel, og jeg har ikke tænkt mig at ændre dette. Faren ved et et gammel password, er vel

Dit brugerkonto er under angreb, så jo længer du bruger det, jo længer tid har angriberne til at finde det. Især hvis systemet er hacket, men password ligger krypteret.

Systemet kan være blevet hacket.

Igen et og to er samme sider af sagen, det er udbyder som har et problemet med manglede sikkerhed. Så når firmaer varetager vores personoplysninger og vi har en brugerkonto ved dem, så har de et ansvar for at holde den sikkert, samt give oplysninger til kunderne hvis det ikke er tilfældet.

Hvis Yahoo, allerede i 2014 opdaget de var hacket og ikke gav oplysninger om dette, samt nulstillet password. Så håber jeg de har gjort sig også juridisk ansvarlig.
Om ikke andet så sletter jeg nu min konti ved dem, har alligevel ikke brugt den i flere år. Vil opfordre andre til det samme.

Men vi må håbe at den nye datalovgivning kan rette op på sådan forhold. Udsigten til en 4% bøde kan være så dyr, at forsøget på at holde noget hemmeligt måske ikke prøves.

Men man skulle måske vente med at slette sin konto, hvis jeg ikke har fået nogen informationer om at den er hacket, så er vi snart meget tæt på 2017 :-)

Men under alle omstændigheder, det er ikke brugerens ansvar at konti er beskyttet det er administratoren og udbyderen. Hvis informationer er tilpas vigtigt, så må man bare stille krav til 2 faktor identificering. Som telefon eller nemid. Samt kun login fra PC med kendt ID, som certifikat eller IP

  • 0
  • 2
Jakob H. Heidelberg

"Center for Cybersikkerhed anbefaler, at passwords bliver hashed med en password-hashfunktion, at der anvendes salt, og at det kun er den hashede værdi, der bliver gemt i databasen."

Hvor gemmer man mon salt værdien så? Og hvorfor står der intet om langsomme algoritmer i den forbindelse, herunder anvendelse af pbkdf2/bcrypt/scrypt m.v.

Der er også nævnt hastigheder på brute force angreb, uden at man forholder sig til hvilken algoritme der er tale om osv.

Jeg ved godt, at man aldrig kan få det hele med, men når man nu selv kommer ind på det...

Jeg mener i øvrigt heller ikke, at de tips til at huske adgangskoder (s. 11) er særlig gode, selvom de er ret udbredte.

Men positivt, at der kommer en vejledning og positivt, at man nu anbefaler "minimum 12-14 tegn", hvilket forhåbentlig giver stof til eftertanke rundt omkring i "8 karakterer med kompleksitetskrav"-virksomheder derude :-)

Mit perspektiv på sagen har jeg tidligere blogget om her: https://www.version2.dk/blog/adgangskoder-670319

  • 0
  • 0
Log ind eller Opret konto for at kommentere