Global Change Your Password Day: En opfordring til handling

Den 1. februar markerer den globale dag for at ændre din adgangskode. Dagen blev etableret i 2012 for at fremme bevidstheden om god praksis for adgangskodehåndtering og fungerer som en årlig påmindelse om at forbedre onlinesikkerheden og beskytte mod cybertrusler. For virksomheder er det bedste praksis – og afgørende – at sikre en god adgangskodehygiejne blandt medarbejdere.

Cybertrusler er i konstant udvikling, og sofistikerede AI-drevne trusler som deepfakes og AI-phishing er i fremgang. Angreb i forsyningskæden fortsætter med at udløse højprofilerede hændelser. Men medarbejderfejl er stadig den hyppigste årsag til databrud: en undersøgelse fra 2025 foretaget af Mimecast fandt ud af, at 95 % af databrud skyldes menneskelige fejl.

I dette anspændte cyberlandskab kan håndtering af grundlæggende cybersikkerhedskrav, såsom god adgangskodehygiejne, mindske et vist risikoniveau. Det kan også tjene som et stærkt fundament for at opbygge en kultur med bevidsthed om informationssikkerhed.

Vigtigheden af ​​god adgangskodehåndtering

Adgangskoder er nøglen til vores digitale hoveddør. Håndhævelse af god adgangskodehåndtering er en kritisk del af enhver forretningsrisikostyringsstrategi. Svage, let gættede adgangskoder øger risikoen for succesfulde databrud, hvilket giver hackere adgang til private e-mails, netværk og følsomme virksomheds- og kundedata.

Databrud er den mest almindelige type cybersikkerhedshændelse. Status for informationssikkerhedsrapport 2025 fandt, at næsten hver tredje (31%) organisation oplevede et databrud inden for de seneste 12 måneder, efterfulgt af phishing og vishing (30%) og malwareinfektioner (29%). Disse brud skaber også omdømme- og økonomisk risiko. IBM Omkostninger ved et databrud 2025 En rapport viste, at de gennemsnitlige omkostninger ved et databrud for en virksomhed på globalt plan var 4.4 millioner dollars, hvilket repræsenterer et fald på 9 % siden 2024.

Omdømmeskade kan også have en betydelig indvirkning. Vercara-forskning fandt ud af, at størstedelen (66%) af amerikanske kunder ikke ville stole på en virksomhed, der bliver offer for et databrud, med deres data, og 44% ville tilskrive cyberhændelser til en virksomheds manglende sikkerhedsforanstaltninger.

Derudover kan god adgangskodesikkerhed bidrage til at forbedre overholdelsen af ​​databeskyttelsesregler som EU's generelle databeskyttelsesforordning. (BNPR), databeskyttelsesstandarder som f.eks. ISO 27701 og informationssikkerhedsstandarder som ISO 27001.

Adgangskodehåndteringsudfordringer

I en ideel verden ville hver medarbejder bruge en unik adgangskode til hvert login. I praksis er det ikke praktisk at huske flere forskellige adgangskoder og kan føre til adgangskodetræthed. Det kan også være vanskeligt at håndhæve overholdelse af adgangskodepolitikken. Et godt sted at starte er at oprette systemregler for adgangskodelængde og kræve, at adgangskoder opdateres efter et bestemt tidsrum.

Bedste praksis for Business Password Management

Organisationer kan sikre, at medarbejdere følger bedste praksis for adgangskodesikkerhed med forskellige bedste praksisser:

Adgangskodelængde og -kompleksitet

Overvej at stille krav om, at adgangskoder skal være mellem 12-20 tegn, med en række små og store bogstaver, specialtegn og tal for øget styrke. En undersøgelse af Carnegie Mellon Universitys CyLab Security and Privacy Institute fandt ud af, at det at kræve en minimumsstyrke og en minimumslængde på 12 tegn skabte en god balance mellem sikkerhed og brugervenlighed.

Opdater politikker

Selvom Global Change Your Password Day er en rettidig påmindelse om at opdatere adgangskoder, bør det ikke være den eneste gang, adgangskoder ændres. Sikkerhedssoftwarefirmaet McAfee anbefaler, at adgangskoder skal ændres hver tredje måned.

Genbrug af adgangskode

Det kan være fristende for medarbejdere at bruge den samme adgangskode til flere konti i deres arbejdsmiljø. Dette øger dog risikoen for kontoovertagelse. Hvis en trusselaktør har adgang til én konto med den adgangskode, vil de effektivt have adgang til dem alle. Medarbejderuddannelse og uddannelse kan hjælpe med at mindske denne risiko ved at fraråde genbrug af adgangskoder.

Værktøjer til adgangskodehåndtering

Uanset om de er separate eller inkluderet i browsere, er disse værktøjer designet til at bygge bro mellem sikkerhed og brugervenlighed ved at gemme og sikkert genkalde stærke, unikke adgangskoder til hvert websted og hver applikation. Det er dog vigtigt at bemærke, at hvis en hacker får adgang til adgangskodestyringsværktøjet, vil de være i stand til at kompromittere alle de adgangskoder, der er gemt i det.

Implementering af Multi-Factor Authentication

Multi-faktor autentificering (MFA) kræver, at brugeren angiver to (eller flere) former for verifikation for at få adgang til en konto. For eksempel kan Udenrigsministeriet kræve, at brugeren logger ind med deres brugernavn og adgangskode og derefter angiver en engangsadgangskode (OTP), der sendes til deres telefon. Brugeren skal angive både sin adgangskode og engangsadgangskoden for at få adgang til kontoen, hvilket tilføjer et ekstra lag af sikkerhed.

Der er flere typer MFA:

OTP'er og tidsbaserede OTP'er

OTP'er er en stærk form for MFA og kan sendes via autentificeringsapps, adgangskodeadministratorer eller tekstbeskeder (SMS). Når først adgangskoden er brugt, er den ikke længere gyldig til brug igen. Tidsbaserede engangsadgangskoder (TOTP'er) tilføjer et ekstra lag af sikkerhed, fordi de kun er gyldige i et begrænset tidsrum.

Brug af OTP'er og TOTP'er med en godkendelsesapp eller adgangskodeadministrator er mere sikkert end at modtage dem via SMS. Tekstbeskeder er modtagelige for SIM-hacking, aflytning af angreb og social engineering.

E-mail til MFA

E-mail MFA indebærer, at brugerens anden form for godkendelse leveres til deres e-mailadresse. Denne form for MFA, selvom den er nem og tilgængelig for brugerne, udgør lignende risici for SMS OTP'er, hvis en hacker har adgang til den e-mail-konto, som koden bliver leveret til.

Biometrisk MFA

Biometrisk MFA bruger ansigtsgenkendelse, en fingeraftryksscanning eller en irisscanning til at validere brugerens identitet og kan være en stærk form for godkendelse. Det bruges almindeligvis på mobiltelefoner, da brugeren kan konfigurere biometri i stedet for at bruge en personlig identifikationskode (PIN) til at låse telefonen op og endda bruge dem til at få adgang til sikre apps såsom autentificering og personlige bankapps.

Mens biometrisk MFA er en af ​​de mere robuste former for autentificering, kan brugere stadig være modtagelige, hvis deres biometriske data bliver stjålet. I modsætning til adgangskoder kan disse data ikke nulstilles eller ændres.

Medarbejderuddannelse og håndhævelse af politikker

En af de vigtigste barrierer for forbedret adgangskodesikkerhed er risikoen for menneskelige fejl. Medarbejderuddannelse er afgørende for at sikre, at alle i organisationen kender de risici, der er forbundet med dårlig adgangskodestyring og deres cybersikkerhedsansvar. Det er dog også vigtigt at levere løsninger, der giver personalet mulighed for at fokusere på deres arbejde og undgå adgangskodetræthed.

Cybersikkerhedsuddannelse

Investering i medarbejdertræning i cyberbevidsthed kan bidrage til at holde virksomheden sikker og sikre, at medarbejderne er i stand til at opdage og rapportere andre risici, såsom forsøg på phishing-angreb. Mange dedikerede træningsplatforme gør det muligt for organisationer at afholde kurser på tværs af virksomheden, overvåge, hvem der har gennemført den nødvendige træning, og automatisk sende e-mail-påmindelser.

Password-politik

Udvikl en kodeordspolitik, der er tilpasset bedste praksis, og kommuniker denne politik på tværs af virksomheden. Dette kan gøres sammen med træning i cybersikkerhed for at hjælpe alle i virksomheden med at forstå beslutningstagningen bag politikken og forbedre medarbejdernes overholdelse.

Politikker kunne specificere minimum adgangskodelængde, kompleksitet, tilladte tegntyper og andre elementer. Som nævnt kan IT-teamet også opsætte medarbejder-enheder til at kræve opdateringer efter en vis periode, såsom 90 dage.

Hvordan ISO 27001 og andre rammer kan hjælpe

Informationssikkerhedsrammer som ISO 27001 og forordninger som GDPR kræver, at virksomheder skrider til handling vedrørende adgangskodesikkerhed.

For eksempel kræver GDPR, at virksomheder behandler personoplysninger sikkert ved hjælp af "passende tekniske og organisatoriske foranstaltninger", mens ISO 27001: 2022 Bilag A Kontrol 5.17 kræver, at autentificeringsoplysninger opbevares sikkert. Kontrolvejledningen siger også, at brugere skal vælge svære at gætte, stærke adgangskoder i overensstemmelse med industristandarder:

• Adgangskoder bør ikke være baseret på personlige oplysninger, der let kan fås, såsom navne eller fødselsdatoer.
• Adgangskoder bør ikke være baseret på oplysninger, der let kan gættes.
• Adgangskoder må ikke indeholde ord eller ordsekvenser, der er almindelige.
• Brug alfanumeriske tegn og specialtegn i din adgangskode.
• Adgangskoder skal have et minimumslængdekrav.

Fem trin til at forbedre adgangskodepolitikken

1) Revider den aktuelle adgangskodepolitik

Gennemgå organisationens eksisterende adgangskodepolitik. Skal det opdateres eller forbedres? Hvis der ikke er en aktuel adgangskodepolitik på plads, skal du udvikle en i overensstemmelse med industristandarder.

2) Kommuniker på tværs af virksomheden

Sørg for, at alle medarbejdere er bekendt med nye eller opdaterede adgangskodepolitikker. Definer politikken og hvorfor den er vigtig, og overvej at oplære medarbejdere i overensstemmelse hermed. Organisationer bør også se på oplæringsledere, så de kan anbefale politikken til andre.

3) Implementer adgangskodestyringsværktøjer

Vælg godkendte adgangskodeadministrationsværktøjer. Brug af et styringsværktøj letter belastningen af ​​at huske flere forskellige legitimationsoplysninger for forskellige konti, hvilket forbedrer sandsynligheden for medarbejderoptagelse.

4) Brug MFA

Implementer MFA som en ekstra måde at autentificere brugere på og mindske risikoen for phishing.

5) Invester i medarbejderuddannelse

Træn medarbejderne til at følge en ny eller opdateret adgangskodepolitik og uddanne dem i at bruge adgangskodestyring og MFA-værktøjer. Dette kan forbedre buy-in og hjælpe personalet med at forstå vigtigheden af ​​god adgangskodehåndtering.

Det er tid til at handle

Stillet over for stadig mere sofistikerede cybertrusler er det vigtigere end nogensinde for virksomheder at gøre status over deres cybersikkerhedspolitik. Global Change Your Password Day fungerer som en opfordring til handling for virksomhedsledere. Ved proaktivt at identificere sårbarheder, implementere bedste praksis inden for cybersikkerhed og uddanne medarbejdere om deres ansvar for informationssikkerhed kan ledere håndtere og afbøde de risici, som cybertrusler udgør.

Klar til at tage skridt til at forbedre praksis for adgangskodehåndtering og styrke organisationens modstandsdygtighed? Lær, hvordan IO's centraliserede ISMS-løsning (information security management system) kan hjælpe din organisation med at forbedre sikkerhedstilstanden og tilpasse adgangskodepolitikken til effektive informationssikkerhedsrammer.