God praksis med adgangskoder

Af Sascha Hegner Specht

Center for Cybersikkerhed har i oktober 2019 revideret deres vejledning for adgangskoder. Vejledningen indeholder en række opdaterede råd om bl.a.:

  • Større anvendelse af fler-faktor godkendelse
  • Ny prioritering af længde over kompleksitet i passwords
  • Behovet for større brug af unikke passwords
  • Anvendelse af passwordmanager
  • Beskyttelse mod ofte anvendte eller tidligere lækkede passwords
  • Begrænsning i brug af tvungne passwordskift

Hacking af brugernavne og adgangskoder er ofte anvendt, med succesfuld, til at få adgang til informationer eller til at misbruge til hackerens eget formål (logge penge ud af venner og familier el.lign). 

Center for Cybersikkerhed kommer i deres reviderede vejledning med en lang række god råd til sikre adgangskoder. Vi har her opsummeret lidt af dem -men kan anbefale at læse deres vejledning, især Tip 1-3 i vejledningen for almindelige IT-brugere.  

En god adgangskode

Genbrug af adgangskoder udgør en stor sikkerhedsrisiko og kan resultere i at en hacker for adgang til mange systemer – både på arbejde og privat.

Tjek også med jævne mellemrum om din adgangskode er blevet lækket på https://haveibeenpwned.com  – og genbrug ikke lækkede adgangskoder. 

Kompleksitet er ikke altid det mest sikre. Jo mere komplekse adgangskoden er, jo større er risikoen for at vi finder det nødvendigt at skrive den ned for at huske den eller at lave et forudsigeligt mønster i koderne, som gør dem nemmere at huske. 
Længden er mere vigtig. Jo længere adgangskoden er, jo sværere er den at bryde.  

Men længden er ikke nok. Den skal også være svært at gætte. Et af de mest almindelige adgangskoder er f.eks. Password2019!. som udgangspunkt har den en blanding af store og små bogstaver, er lang og der er tegn og tal med i koden. Men den er også rimelig nem at gætte.

Fler-faktor-autentifikation 

Fler-faktor-autentifikation går i bund og grund ud på, at der skal flere faktorer i spil for at få adgang. F.eks kombinationen af at indtaste en adgangskode og så få en kode tilsendt på SMS eller skulle godkende login på en anden enhed. Fler-faktor-autentifikation er karakteriseret ved, at brugeren får adgang med sit brugernavn suppleret med to eller tre af:

  • noget brugeren ved (f.eks. pinkode eller password)
  • noget brugeren har (f.eks. Mobiltelefon, nøglekort, eller USB-nøgler)
  • noget brugeren er (f.eks. ansigtsgenkendelse eller fingeraftryk), også kaldet biometrisk identifikation.

Oftest benyttes to-faktor-autentifikation, hvor noget brugeren ved, suppleres med noget brugeren enten har, eller er. 

De fleste af de systemer MICO servicerer har muligheden for fler-faktor-autentifikation og vi anbefaler det som udgangspunkt når der er adgang til virksomhedsdata. Hvis en e-mail konto f.eks. kan bruges til at nulstille glemte passwords på andre konti, bør den beskyttes med fler-faktor-autentifikation. Vælges dette til, kan det nedsætte kravet til adgangskodens kompleksitet og længde.

Brug af kode-husker

Eller ”passwordmanagere” på godt dansk kan være en stor hjælp. Det er grundlæggende et stykke software der kan generere og gemme adgangskoder. Koderne er så beskyttet af en hovedadgangskode.
Adgangskoderne er krypterede, men adgangen til at kunne anvende dem, er afhængig af sikkerheden på den anvendte enhed. Denne løsning bør derfor ikke anvendes til kritiske passwords.
Benyttes denne slags kode-husker, så bør det sikres at data kan eksporteres, så man fortsat kan tilgå sine adgangskoder ved et evt. nedbrud hos tjenesten. 
Hovedadgangskoden bør desuden suppleres med fler-faktor-autentifikation, for større sikkerhed. 

Ofte ændring af adgangskoder

Det har tidligere været almindeligt anbefalet at ændre adgangskoder med jævne mellemrum. Dette er dog ikke tilfældet længere, da det har vist sig at resultere i svagere adgangskoder. Har man en IT-politik der ikke kræver regelmæssig ændring af adgangskoder, anbefales det at man supplerer med følgende tiltag:

  • Awareness-træning af brugere i håndtering og valg af sikre passwords.
  • Politikker understøttet af tekniske kontroller, der sikrer relevant password længde (og evt. kompleksitet). 
  • Kontrol med at ofte anvendte eller allerede lækkede passwords ikke vælges. 
  • Begrænsning af antal mulige loginforsøg.

Standardadgangskoder

Det anbefales altid at ændre adgangskoden på udstyr der kommer med en standard-adgangskode. Det kan f.eks. være til routere, printere, logservere og firewalls. 
Leverer MICO udstyr, sørger vi altid for at adgangskoden er ændret inden anvendelse. 

Forskel på sikkerheden 

Der kan være forskel på de sikkerhedsforanstaltninger der skal etableres på forskellige systemer. En adgangskode bør vælges på baggrund af en sikkerhedsvurdering og et helhedsbillede. F.eks. om der er opsat fler-faktor godkendelse og hvilke data der beskyttes.

Der bør også tages enkeltvis stilling til sikkerheden for en administrator, for fjernadgang og for enkelte brugere. MICO bistår gerne med risikovurderinger for adgang til data. 

Adgangskodepolitik

For at opnå den største sikkerhed, er det vigtigt at informere om de retningslinjer virksomheden har for adgangskoder. 
Den overordnede adgangskodepolitik kan bygge på principper som: 

  • Passwords anvendes når det er nødvendigt, og i relation til de sikkerhedsmæssige krav. 
  • Undgå unødigt komplicerede passwordregler – god længde, lavere kompleksitet.
  • Password må ikke genbruges på tværs af systemer. 
  • Password er personlige og må ikke deles. 
  • Anvend fler-faktor-autentifikation til at øge sikkerheden. 
  • Brugervenlighed – kultur og adfærd i organisationen. 
  • Awareness, awareness, awareness. 
  • It-understøttelse af passwordmanagers, der hjælper brugeren med at håndtere mange passwords. 
  • Krav til sikker teknisk håndtering af passwords.

Kilder og links