Blogg

Blogg

En gledelig nyhet om passord

av Elisabeth Rustand

Business woman working online with a laptop computer.jpeg

En virksomhets IT-infrastruktur er sammensatt av ulike verktøy og tjenester. Alt skal ansatte ha tilgang til (riktignok ikke alle til alt) og det krever tilgangstillatelse gjennom brukernavn og passord. I dag jobbes det i stor grad på ulike steder og når det passer. Tilgang trengs for å få jobben gjort og det skal være sikkert. Lar du de ansatte leve i et strengt passordregime? I så fall kan du slutte med det – det kan gjøres enkelt.

I mange virksomheter er kravet om kompliserte passord og hyppige skifter et mantra. I følge Per Thorsheim – en av verdens fremste passordeksperter og forskning fra blant annet britisk etterretning, Microsoft og Carnegie Mellon, er dette bare tull og bortkastet tid og frustrasjon. Det gjelder både kompleksiteten i passord og de hyppige skiftene som kreves. 

Forskningen viser at bruk av mange og vanskelige passord og hyppige skifter går ut over blant annet:

  • sikkerheten - fordi vanskelige passord er så vanskelige å huske at man skriver de ned på lett tilgjengelige steder og fordi krav om hyppige endringer gjøre at de ansatte ofte bare endrer på et tegn (fra 123456 til 12345 eller mars17 til april17)
  • brukervennligheten – fordi man stadig må skifte og kravet til kompleksitet er stort
  • effektiviteten - kan gi hyppige avbrytelser og er en tidstyv
  • support - som får mye å gjøre fordi folk glemmer passord. Det gjør det også mer komplisert å rydde opp når medarbeidere slutter.

Forskningen viser at når man blir avbrutt i en arbeidsoppgave eller i en tankeprosess, f.eks av at man må legge inn et nytt passord i en tjeneste underveis, så mister man 20-25 minutter av den effektive tiden. 

Bruk samme brukernavn og passord på alt!

Det er bedriftens ansvar at ansatte har tilgang til det de trenger der de er, enkelt og sikkert – og med lite forstyrrelser

Det finnes løsninger som gir ansatte tilgang til alt bedriften har av tjenester og løsninger med ett passord og ett brukernavn. Man logger seg på en gang! Dette kalles gjerne for "Single Sign-on".

Alternativt kan man gjøre det samme – altså bruke samme brukernavn og passord for alle innlogginger man gjør innenfor bedriftens system.  Det reduserer ikke sikkerhetsnivået, men er selvsagt litt mer tungvint enn såkalt ”single sign-on”.

Enhver tjeneste krever brukernavn og passord og det er passordet det først og fremst stilles krav til.

Det kan være grunn til å nevne at bruk av ett passord kun gjelder i arbeidslivet. På en arbeidsplass er det et lukket system, derfor kan man ha ett passord og brukernavn! Ved bruk av private tjenester på internett (Facebook, Google, LinkedIn mm), bør man ha ulike passord for de ulike tjenestene. Men – de trenger ikke være komplisert! Passordanbefalingene under gjelder alle. 

I privat sammenheng vil vi anbefale at du lagrer passordene dine på en av disse to appene. Ett passord - og du får sikker tilgang til dem alle. 

Har du Mac: 1Password

Eller for PC, Mac, mobiltelefon : LastPass

Brukernavn:

Når det gjelder brukernavn kan og bør det gjøres superenkelt. Bruk brukerens opprinnelige e-postadresse!

Passord:

Skal du ha ett passord er det viktigste kravet at det skal være vanskelig å gjette for hackere. Det betyr ikke masse rare tegn og kompliserte kombinasjoner men det betyr heller ikke at det skal være for enkelt. De kriminelle buker ordbøker på ”vanlige” passord og sjekker stadig opp mot disse. De tre mest brukte passordene i verden i 2016 var:

  1. 123456
  2. 123456789
  3. qwerty 

-og listen bare fortsetter med tall og enkle bokstavrekker fra tastaturet.

Utover å se på hva mange bruker, så søker de kriminelle på ting i tiden og vurderer sannsynlighet for at folk kan bruke dem (f.eks. sommer2017, høst2017)

Passordanbefalinger:

  • Vårt råd (og forskningen støtter det) er å lage setninger, - gjerne lange. Gjerne noe som gir positive assosiasjoner og som er enkle å huske for den enkelte! Det er ikke lett for de datakriminelle å gjette seg til passord som ”Jeg elsker å være på hytta”, eller bedre  ”Jeg elsker å være på hytta i Vællers” (et dialektisk ord er vanskeligere å gjette) eller ”Jeg love hytta i Vællers” (ulikt språk i tillegg). Bruk også gjerne tegn! ”Jeg love hytta i Vællers ***). Noen tjenester tillater ikke mellomrom – da kan man f.eks. si jeglovehyttaivællers. Ellers har man kanskje en favorittsang som kan brukes ”Jeg gikk en tur på stien i VLRS” (annenhver bokstav i Valdres)
  • Skriv gjerne ned passordet ditt. Men ikke på en lapp på veggen på kontoret eller løst liggende på pulten. Ha en bok eller et digitalt sted som er sikkert der du skriver det ned.
  • Bruk to-faktor autentisering, eller to-trinnsbekreftelse, som gir et ekstra sikkerhetsnivå fordi selv om noen kjenner til brukernavnet og passordet ditt så kommer de seg ikke inn allikevel. 

Om To-trinns bekreftelse

Dette er en totrinnsbekreftelse av sikkerhetsnivå og anbefales sterkt!

Dette legger et ekstra lag på sikkerhetsnivået i virksomheten eller på en tjeneste. Det blir mer og mer vanlig å kreve, anbefale og bruke to-trinns bekreftelse.

Dette fungerer ved at du logger deg på med brukernavn og passord som vanlig, men i tillegg må du oppgi en engangskode første gang du logger deg på fra et nytt sted eller fra en ny klient (Nettbrett, PC eller telefon). Denne koden genereres ofte på mobilen.  Et eksempel er når du logger deg inn på en tjeneste fra Apple  (Apple-ID). Nettbanken er også et eksempel, men i motsetning til der du må oppgi koden hver gang, så må du med to-trinns bekreftelse kun gjøre det når du gjør det fra et nytt sted.

Noen hevder også at IT-sikkerhet og virksomhetens evne til å håndtere det stadig økende trusselnivået, kan bli en konkurranseparameter i tiden som kommer.  Et eksempel på noen som tar dette på alvor er e-postmarkedsførings tjenesten MailChimp. Det får du som bruker 10% rabatt på tjenesten dersom du tar i bruk to-faktor autentifisering på din egen konto.  

Er du interessert i hvordan din bedrift kan bruke en type to-faktor autentisering og sikre at ett brukernavn og passord er nok og fungerer –kontakt  gjerne oss i oss i Teknograd for en uforplikende prat 

Last gjerne også ned våre enkle og gode "vær varsom råd". Det er menneskelig feil som er årsaken til de fleste sikkerhetsbrudd i bedrifter. Økt bevissthet reduserer risikoen. 

Vær varsom-råd 

En blogg fra Teknograd

Teknograd AS er et IT selskap som hver dag jobber for å sikre kundene de riktige IT-løsningene. Vi er lidenskapelig opptatt av at det skal fungere og at det er sikkert. Overlat ansvaret for IT løsningene til oss – så kan du bruke tiden på det du er god på.  Vi har stor tro på at høy kompetanse, god service og gjensidig tillit skaper det beste grunnlaget for et godt samarbeid. 

Få e-post om nye innlegg