Global Change Your Password Day: En opfordring til handling

Den 1. februar markerer Global Change Your Password Day, som blev etableret i 2012 for at fremme bevidstheden om god adgangskodehåndteringspraksis. Det er ingen hemmelighed, at menneskelige fejl er den førende årsag til databrud: en undersøgelse fra 2022 af World Economic Forum fandt, at 95 % af cybersikkerhedsproblemer stammer fra fejl.

Da cybertrusler kun fortsætter med at formere sig, er det vigtigere end nogensinde før, at virksomheder træffer forebyggende foranstaltninger for at mindske menneskeskabte risici, herunder forbedring af adgangskodestyring.

Vigtigheden af ​​god adgangskodehåndtering

Adgangskoder er den første forsvarslinje inden for cybersikkerhed – nøglerne til vores digitale hoveddør. Håndhævelse af god adgangskodestyring er derfor en kritisk komponent i enhver forretningsstrategi for risikostyring. Svage adgangskoder, der er lette at gætte, øger risikoen for vellykkede databrud, hvilket giver hackere adgang til private e-mails, netværk og følsomme virksomheds- og kundedata.

Databrænkelser også skabe omdømmemæssige og økonomiske risici. IBM Omkostninger ved et databrud 2023 rapporten viste, at de globale gennemsnitlige omkostninger ved et databrud for en virksomhed var $4.5 mio., en stigning på 15 % siden 2020.

Omdømmeskader kan også have en betydelig indvirkning. I 2018, Facebooks aktiekurs styrtdykkede med over 100 milliarder dollars efter databrudshændelsen, der involverede Cambridge Analytica. British Airways led et fald i omdømmescore og aktiekurs efter et databrud i 2018, hvor hackere fik adgang til de personlige og økonomiske oplysninger fra næsten 500,000 kunder.

Derudover kan god adgangskodesikkerhed hjælpe med at forbedre overholdelse af databeskyttelsesforordninger som EU's generelle Data forordning Protection (BNPR) og informationssikkerhedsstandarder som ISO 27001.

Adgangskodehåndteringsudfordringer

I en ideel verden ville hver medarbejder have en unik adgangskode til hvert login. I praksis er det ikke praktisk at huske flere forskellige adgangskoder og kan føre til adgangskodetræthed. Det kan også være vanskeligt at håndhæve overholdelse af adgangskodepolitikken. Et godt sted at starte er at opsætte systemregler for adgangskodelængde og kræve, at adgangskoder skal opdateres efter et vist tidsrum.

Bedste praksis for Business Password Management

Organisationer kan sikre, at de følger bedste praksis for adgangskodesikkerhed på forskellige måder:

Adgangskodelængde og kompleksitet

Overvej at stille krav om, at adgangskoder skal være mellem 12-20 tegn, med en række små og store bogstaver, specialtegn og tal for øget styrke. En undersøgelse af Carnegie Mellon Universitys CyLab Security and Privacy Institute fandt ud af, at det at kræve en minimumsstyrke og en minimumslængde på 12 tegn skabte en god balance mellem sikkerhed og brugervenlighed.

Opdater politikker

Selvom Global Change Your Password Day er en rettidig påmindelse om at opdatere adgangskoder, bør det ikke være den eneste gang, adgangskoder ændres. Sikkerhedssoftwarefirmaet McAfee anbefaler, at adgangskoder skal ændres hver tredje måned.

Genbrug af adgangskode

Det kan være fristende for medarbejdere at bruge den samme adgangskode til flere konti i deres arbejdsmiljø. Dette øger dog risikoen for kontoovertagelse. Hvis en trusselaktør har adgang til én konto med den adgangskode, vil de effektivt have adgang til dem alle. Medarbejderuddannelse og uddannelse kan hjælpe med at mindske denne risiko ved at fraråde genbrug af adgangskoder.

Værktøjer til adgangskodehåndtering

Uanset om de er selvstændige eller inkluderet i browsere, er disse værktøjer designet til at bygge bro mellem sikkerhed og brugervenlighed – ved at gemme og sikkert genkalde stærke, unikke adgangskoder til hvert websted og enhver applikation. Det er dog vigtigt at bemærke, at hvis en hacker får adgang til adgangskodestyringsværktøjet, vil de være i stand til at kompromittere alle de adgangskoder, der er gemt indeni.

Implementering af Multi-Factor Authentication

Multi-faktor autentificering (MFA) kræver, at brugeren angiver to (eller flere) former for verifikation for at få adgang til en konto. For eksempel kan Udenrigsministeriet kræve, at brugeren logger ind med deres brugernavn og adgangskode og derefter angiver en engangsadgangskode (OTP), der sendes til deres telefon. Brugeren skal angive både sin adgangskode og engangsadgangskoden for at få adgang til kontoen, hvilket tilføjer et ekstra lag af sikkerhed.

Der er flere typer MFA:

OTP'er og tidsbaserede OTP'er

OTP'er er en stærk form for MFA og kan sendes via autentificeringsapps, adgangskodeadministratorer eller tekstbeskeder (SMS). Når først adgangskoden er brugt, er den ikke længere gyldig til brug igen. Tidsbaserede engangsadgangskoder (TOTP'er) tilføjer et ekstra lag af sikkerhed, fordi de kun er gyldige i et begrænset tidsrum.

Brug af OTP'er og TOTP'er med en godkendelsesapp eller adgangskodeadministrator er mere sikkert end at modtage dem via SMS. Tekstbeskeder er modtagelige for SIM-hacking, aflytning af angreb og social engineering.

E-mail til MFA

E-mail MFA indebærer, at brugerens anden form for godkendelse leveres til deres e-mailadresse. Denne form for MFA, selvom den er nem og tilgængelig for brugerne, udgør lignende risici for SMS OTP'er, hvis en hacker har adgang til den e-mail-konto, som koden bliver leveret til.

Biometrisk MFA

Biometriske MFA-anvendelser ansigtsgenkendelse, en fingeraftryksscanning eller en irisscanning for at validere brugerens identitet og kan være en stærk form for godkendelse. Det bruges almindeligvis på mobiltelefoner, da brugeren kan konfigurere biometri i stedet for at bruge et personligt identifikationsnummer (PIN) til at låse telefonen op og endda bruge dem til at få adgang til sikre apps såsom autentificerings- og personlige bankapps.

Mens biometrisk MFA er en af ​​de mere robuste former for autentificering, kan brugere stadig være modtagelige, hvis deres biometriske data bliver stjålet. I modsætning til adgangskoder kan disse data ikke nulstilles eller ændres.

Medarbejderuddannelse og håndhævelse af politik

En af de vigtigste barrierer for forbedret adgangskodesikkerhed er risikoen for menneskelige fejl. Medarbejderuddannelse er afgørende for at sikre, at alle i organisationen kender de risici, der er forbundet med dårlig adgangskodestyring og deres cybersikkerhedsansvar. Det er dog også vigtigt at levere løsninger, der giver personalet mulighed for at fokusere på deres arbejde og undgå adgangskodetræthed.

Cybersikkerhedsuddannelse

Investering i medarbejdernes cyberbevidsthedstræning kan hjælpe med at holde virksomheden sikker og sikre, at personalet er i stand til at spotte og rapportere andre risici, såsom forsøg på phishing-angreb. Mange dedikerede træningsplatforme gør det muligt for organisationer at afholde kurser på tværs af virksomheden, overvåge, hvem der har gennemført den nødvendige træning og automatisk sende e-mail-påmindelser til efternøler.

Password-politik

Udvikl en kodeordspolitik, der er tilpasset bedste praksis, og kommuniker denne politik på tværs af virksomheden. Dette kan gøres sammen med træning i cybersikkerhed for at hjælpe alle i virksomheden med at forstå beslutningstagningen bag politikken og forbedre medarbejdernes overholdelse.

Politikker kunne specificere minimum adgangskodelængde, kompleksitet, tilladte tegntyper og andre elementer. Som nævnt kan IT-teamet også opsætte medarbejder-enheder til at kræve opdateringer efter en vis periode, såsom 90 dage.

Hvordan ISO 27001 og andre rammer kan hjælpe

Informationssikkerhedsrammer som ISO 27001 og forordninger som GDPR kræver, at virksomheder skrider til handling vedrørende adgangskodesikkerhed.

For eksempel kræver GDPR, at virksomheder behandler personoplysninger sikkert ved hjælp af "passende tekniske og organisatoriske foranstaltninger", mens ISO 27001: 2022 Bilag A Kontrol 5.17 kræver, at autentificeringsoplysninger opbevares sikkert. Kontrolvejledningen siger også, at brugere skal vælge svære at gætte, stærke adgangskoder i overensstemmelse med industristandarder:

● Adgangskoder bør ikke være baseret på personlige oplysninger, der let kan fås, såsom navne eller fødselsdatoer.
● Adgangskoder bør ikke være baseret på oplysninger, der let kan gættes.
● Adgangskoder må ikke omfatte ord eller sekvenser af ord, der er almindelige.
● Brug alfanumeriske tegn og specialtegn i din adgangskode.
● Adgangskoder skal have et minimumslængdekrav.

Fem trin til at forbedre adgangskodepolitikken

1) Revider den aktuelle adgangskodepolitik

Gennemgå organisationens eksisterende adgangskodepolitik. Skal det opdateres eller forbedres? Hvis der ikke er en aktuel adgangskodepolitik på plads, skal du udvikle en i overensstemmelse med industristandarder.

2) Kommuniker på tværs af virksomheden

Sørg for, at alle medarbejdere er opmærksomme på nye eller opdaterede adgangskodepolitikker. Definer politikken, og hvorfor den er vigtig, og overvej at træne medarbejderne sammen. Organisationer bør også se på uddannelsesledere, så de kan fremme politikken over for andre.

3) Implementer adgangskodestyringsværktøjer

Vælg godkendte adgangskodeadministrationsværktøjer. Brug af et styringsværktøj letter belastningen af ​​at huske flere forskellige legitimationsoplysninger for forskellige konti, hvilket forbedrer sandsynligheden for medarbejderoptagelse.

4) Brug MFA

Implementer MFA som en ekstra måde at autentificere brugere på og mindske risikoen for phishing.

5) Invester i medarbejderuddannelse

Træn medarbejderne til at følge en ny eller opdateret adgangskodepolitik og uddanne dem i at bruge adgangskodestyring og MFA-værktøjer. Dette kan forbedre buy-in og hjælpe personalet med at forstå vigtigheden af ​​god adgangskodehåndtering.

Det er tid til at handle

I vores digitale første verden er det vigtigere end nogensinde for virksomheder at gøre status over deres cybersikkerhed. Global Change Your Password Day fungerer som en opfordring til handling for virksomhedsledere. Nu er tiden inde til proaktivt at identificere områder med sårbarhed, herunder dårlige adgangskodepolitikker, og reducere risikoen ved cybertrusler mod virksomheder, data og – i forlængelse heraf – mennesker.

Er du klar til at tage skridt til at sikre din virksomhed og forbedre din adgangskodeadministration? Lær, hvordan vores informationssikkerhedsstyringssystem (ISMS)-løsning kan hjælpe din organisation med at forbedre sikkerhedspositionen og tilpasse adgangskodepolitikken med kraftfulde informationssikkerhedsrammer.