Lösenord är osäkra – så vad gör vi nu?

Gustav Rolf Blogg, Säkerhet och Efterlevnad

Vi älskar att hata våra lösenord. Det finns alldeles för många att hålla reda på och vi matas ständigt med nya rekommendationer om hur vi på bästa sätt ska hantera dem för att hålla oss ”säkra”. Men sanningen är att användarnamn och lösenord inte är en säker inloggningsmetod. Vi för en ständig kamp mellan säkrare (mer komplexa) och användarvänliga (enklare) lösenord som ingen går vinnande ur. Vi klarar helt enkelt inte av att komma ihåg unika, komplexa lösenord för alla de digitala tjänster vi idag använder. Så vad kan vi göra istället?

Inte ens ett säkert lösenord är säkert

Många studier visar att vi väljer lösenord som vi identifierar oss med. Det kan vara namnet på ett husdjur, barnens födelsedatum, mormors flicknamn och så vidare. Dessutom återanvänds ofta lösenorden för en mängd olika inloggningar vilket gör dem än mer sårbara och lättare att knäcka. På så sätt kan ett intrång, där någon får tillgång till dina uppgifter på ett ställe, resultera i att betydligt fler av din konton hackas. 

Ett lösenord bör dessutom bytas regelbundet – något som inte uppskattas av de flesta. Därför gör de flesta det lätt för sig genom att bara addera en siffra eller liknande till lösenordet. Något som knappast bidrar till säkerheten. Alternativt väljer man ett alldeles för enkelt lösenord – eller så väljer man att inte byta lösenord alls.

Väljer du däremot ett för starkt lösenord uppstår andra utmaningar. Ett komplicerat lösenord är svårare att komma ihåg och många väljer därför att skriva ner det – på en lapp exempelvis – som du sedan lägger ifrån dig. Lösenordet blir på så sätt inte starkare än det ”gömställe” du lägger lappen på. Under tangentbordet eller överst i skrivbordslådan…?

Säkerhet krävs – oavsett verksamhet

I allmänhet är medvetenheten förhållandevis hög om vilka säkerhetsåtgärder som borde sättas in. Dessvärre är det få som lever därefter. Tanken är ofta: ”Det har ju fungerat innan, så då borde det nog fungera ett tag till”. Naivt, kan tyckas – ändå är det ett mycket vanligt förhållningssätt.

Det är naturligtvis i hög grad en fråga om hur hög säkerhet ditt företag anser sig ha behov av. Arbetar du inom ett bolag med stora affärshemligheter som många kan tänkas vilja komma åt, finns det naturligtvis en annan hotbild än för exempelvis en förskola. I och med införandet av GDPR är det oavsett fallet viktigt att skydda din information så att de personuppgifter du hanterar inte hamnar i orätta händer.  

Det blir viktigare att höja säkerheten långsiktigt snarare än att riskera att personuppgifter läcks. Att behöva rapportera eventuella överträdelser kräver nämligen oändligt mycket mer tid, än att se till att säkerheten hålls på en lämplig nivå redan från början.  

Lösenordet mångdubbelt säkrare med tvåstegsverifiering

Det finns idag bra alternativ och komplement till inloggning med lösenord, så kallad tvåstegsverifiering. Där har du visserligen ett lösenord som grund, med det behöver inte behöver vara särskilt komplext. Då du knappat in lösenordet skickas en verifieringskod till den mobila enhet som har kopplats till kontot – vanligtvis din smartphone eller padda. Istället för att få automatisk tillgång till kontot med ett lösenord, adderas alltså ett moment som säkerställer användarens identitet. Mobilen är ju direkt knuten till dig som individ och detta moment som gör autentiseringen mångdubbelt säkrare. Det krävs betydligt mer arbete för någon att både få tillgång till ditt lösenord och din mobila enhet.

AI blir allt vanligare och den raska utvecklingstakten gör att det nu även möjligt att dra fördel av detta vid tvåstegsverifiering. I praktiken innebär det att tvåstegsverifiering inte krävs i de fall den artificiella intelligensen känner av att du är på en säker plats – din arbetsplats vid den tid och de dagar du alltid är där, exempelvis. Väljer du däremot att logga in från en semesterort du aldrig besökt tidigare kommer AI:n att uppfatta detta som misstänkt och därför avkräva användaren en tvåstegsverifiering.

Bygg din säkerhet under kontrollerade former

Det långsiktiga arbetet med att stärka säkerheten inom ditt bolag är naturligtvis förknippat med kostnader och det är samtidigt svårt att beräkna exakt vad du kan tänkas spara på att höja din säkerhet. Men tydligt är att det blir billigare att koppla greppet om säkerhetssituationen innan något inträffar. Annars står du inför en situation då du både släcker bränder som uppstått vid ett intrång och samtidigt måste planera för ett mer övergripande säkerhetsprojekt. Kan du istället bygga din säkerhet med god planering och under kontrollerade former blir det ett betydligt billigare arbete.

Vill du veta mer om hur vi på WeSafe kan hjälpa dig att stärka säkerheten, både genom långsiktigt arbete och mindre komplexa insatser som gör stora skillnader – såsom användande av tvåstegsautentisering för dina konton? Hör av dig till oss så berättar vi mer!

Share this Post




Image
Image
Läs fler bloggposter
Skrivet av

Gustav Rolf

Säkerhetsansvarig konsult, 040 – 626 75 83, gustavrolf@wesafe.se, LinkedIn


Kontakta oss
Läs våra kundcase