Säkerhetsblogg

Din guide till säkra lösenord – hur de hackas och hur du skyddar dina anställda

Enligt National Cyber Security Centre i Storbritannien har brittiska personer i genomsnitt 22 lösenord. Om man tar detta som en indikation för resten av Europa och världen, är det minst sagt rätt många lösenord att behöva komma ihåg! Lösenord är nog den vanligaste säkerhetsåtgärden man använder för att skydda information. Därför är det viktigt att de är säkra.

Hur hackas lösenord?

Lösenord kan hackas på ett flertal sätt, och vissa metoder är mer komplexa än andra. Ni kanske kommer ihåg den virala bilden nedan. Bilden är från Hawaii Emergency Management Agency och visar hur ett lösenord står skrivet på en post-it-lapp.

Hawaii password incident

Nu kanske inte ’tjuvkika på post-it-lappar’ är det vanligaste sättet för hackare att få tillgång till lösenord, men det visar hur lätt det kan vara. Här följer några av de vanligaste teknikerna hackare använder för att komma över lösenord.

Shoulder surfing – Ibland kan någonting så enkelt som att titta över en axel vara allt man behöver göra. Shoulder surfing är när någon tittar över din axel när du skriver in ditt lösenord, och på sätt kommer åt din information. Shoulder surfing är dock mer vanligt när det kommer till tillfällen när du ska slå in din pinkod till ditt betalkort, som i affären eller vid bankomater.

Brute force – Brute force kan beskrivas som en trial-and-error-teknik. Specialiserade automatiserade program gissar sig till rätt lösenord genom att gå igenom miljardtals av olika kombinationer av ord, siffor och tecken. Brute force-program kan styras av hackaren själv, som kan ange vilka ord hen vill att programmet ska rikta in sig på baserat på information tillgänglig om dig, som födelsedatum, namn på familjemedlemmar, favoritfotbollslag, husdjur etc.

Key logging – Key logging är en typ av malware/virus som ofta sprids genom mejl där du uppmanas att öppna suspekta bilagor eller klicka på konstiga länkar. En keylogger registrerar tangenttryckningar. När keyloggern installerats på din dator så väntar den på att du ska börja skriva på ditt tangentbord. Sedan loggar den allt du skriver och skickar denna information till hackare, som då får tillgång till lösenord och annan känslig information.

 Social engineering – Social engineering är attacker där man genom olika tekniker helt enkelt försöker att manipulera användare till att avslöja sina inloggningsuppgifter. En vanlig social engineering-teknik är nätfiske, eller phishing som det är känt som på engelska, där en av teknikerna är att man skickar mejl som ser ut att komma från en pålitlig avsändare, exempelvis banker eller myndigheter. Istället ligger en hackare bakom mejlet, och du luras på ditt lösenord.

Sätt att förbättra lösenordssäkerhet på företag

Nu har vi gått igenom några av de tekniker hackare använder för att komma åt lösenord. Hur kan då företag förbättra lösenordssäkerheten? Det första man bör göra är att ta fram en lösenordspolicy. En lösenordspolicy är en policy för kvaliteten på lösenord, hur de ska hanteras, och vilka krav som finns på exempelvis överföring och lagring av lösenord. Behöver ni följa säkerhetsstandarder som PCI DSS? Säkerställ att er lösenordspolicy följer de säkerhetsstandarder ni måste efterleva.

Blacklista de vanligaste lösenorden – För att undvika användandet av enkla lösenord kan ett tips vara att blacklista vanliga lösenord som 123456 och Password1.

Använd tvåfaktorsautentisering – förstärk lösenord med tvåfaktorsrautentisering, vilket innebär ett extra krav på att visa att du är du. Då blir användaren uppmanad att ange mer information efter att denne har skrivit in sitt lösenord, exempelvis en kod som skickas via sms. Tvåfaktorsautentisering är en bra extra säkerhetsåtgärd för exempelvis remote access och administratör-konton.

Använd tekniska lösningar för att underlätta för era anställda – Det finns exempelvis Password Managers som hjälper användare skapa säkra lösenord, och som sedan förvarar dessa krypterade. Lösningar som single-sign-on kan också implementeras för att minska användandet av lösenord.

Förvara inte lösenord i klartext.

Utbilda er personal – Det säkraste sättet att nå framgång brukar vara att involvera hela företaget, och detta gäller även lösenordssäkerhet. Utbilda er personal om er lösenordspolicy, uppmuntra dem att inte använda samma lösenord privat som de gör på jobbet, hjälp dem undvika att använda för enkla lösenord och lär dem om hackarnas knep för att sno användaruppgifter.

Säkerställ att ni har andra skyddsmekanismer på plats – Lösenordssäkerhet är viktigt, men som företag har man också ett ansvar att se till att tillgång till era företagshemligheter inte ska bära eller brista beroende på om en individ har ett enkelt eller komplext lösenord. Prioritera säkerhet på alla plan och ha andra skyddsmekanismer på plats för att skydda er känsliga information, som exempelvis säkra servrarbrandväggar och HSM.

 

Här kan du hitta fler intressanta blogginlägg:

Varför applikationssäkerhet är viktigare än någonsin

Cloud Act – hur den amerikanska lagen kan påverka svenska företag

Frågor och svar om Web Application Firewall

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com