Center for Cybersikkerhed advarer mod dårlig passwordpraksis

Faglig nyhedVi genbruger og sjusker for meget med vores passwords – ny vejledning skal hjælpe med at ændre virksomhedernes og privates dårlige vaner.

CybersikkerhedOm revisor

Vores uhensigtsmæssige omgang med passwords medfører, at den danske cybersikkerhed er udfordret. Center for Cybersikkerhed (”CFCS”) har derfor i oktober 2019 udgivet sin opdaterede passwordvejledning, som også tager hensyn til de seneste ændringer i hackernes angrebsmetoder.

Vejledningen er relevant for revisorer som et værktøj til at opnå mere baggrundsviden om passwordhåndtering samt konkrete anbefalinger på området, hvilket er relevant både i rådgivning om cybersikkerhed samt ikke mindst for revisorerne selv.

Vejledningen er målrettet virksomheder, men kan også anvendes af private.

Vejledningen indeholder praktiske råd om sikker anvendelse af passwords. De overordnede anbefalinger og principper er inkluderet nedenfor og skal opfattes som generelle og vil ikke nødvendigvis være dækkende for alle situationer.

Opdaterede anbefalinger


Valg af passwords

  • Vælg passwordstyrke i forhold til det, passwordet giver adgang til (mere sensitiv adgang øger krav om passwordstyrke)
  • Længden på passwordet er vigtigere end kompleksitet
  • Genbrug ikke passwords
  • En passwordmanager kan hjælpe med at huske de mange unikke passwords
  • Suppler passwordet med fler-faktor-autentifikation hvor muligt.

Passwordpolitikker

  • Stil ikke krav om passwordkompleksitet, men rådgiv om valg af sikre passwords
  • Vurder, om tvunget passwordskift øger eller forringer sikkerheden
  • Anvend single-sign-on for at gøre det nemt for brugerne at tilgå organisationens systemer
  • Anvend fler-faktor-autentifikation hvor muligt, og som minimum på al fjernadgang og alle privilegerede konti
  • Tillad ikke ofte anvendte eller allerede lækkede passwords
  • Hjælp brugerne til sikker håndtering af passwords gennem regelmæssige awareness-tiltag.

Kilde: CFCS, vejledning i passwordsikkerhed

Det er interessant at læse, at tvunget passwordskift ikke nødvendigvis øger sikkerheden, og det skyldes øget risiko for, at brugerne genbruger komplekse passwords til flere konti eller blot foretager få ændringer. Dermed har hackerne nem adgang til at gennemskue passwordet.

”Problemet er, at når vi skifter adgangskoder, så ændrer vi dem til noget, der minder meget om det tidligere. På den måde bliver sikkerheden ikke bedre, men faktisk dårligere”, siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed, til DR. ”Derfor foreslår vi, at man genovervejer praksis med regelmæssige adgangskodeskift og i stedet stiller krav om, at adgangskoderne skal være længere, men til gengæld undlader at skifte dem så ofte, som man gør i dag”, fortsætter han.

Tip 1 - Et godt password
Nedenfor har vi inkluderet CFCS’ anbefalinger til metoder for manuel etablering af stærke passwords – eksempelvis ved at tænke på en sætning, som kan være noget personligt og derfor nemmere at huske. Sætningen skal have en mellemlang længde, og CFCS anbefaler minimum 12 tegn, hvis det ikke er suppleret med fler-faktor-autentifikation (se tip 2).

Sådan laver du et stærkt password


Tænk på en sætning

  • Gerne noget personligt, der er lettere at huske – og lav den til et password.
  • Her tager man de to første bogstaver, det første med stort, fra ordene i en sætning – eksempelvis sætningen: ”Husk! Bestil 1000 liter olie til fyret” bliver på den måde til adgangskoden ”Hu!Be1000L.OlTiFy”
  • Adgangskoden skal minimum være 12 tegn lang.

Forkort med tegn

  • Man kan også forkorte ordene, erstatte dem med specialtegn eller kun benytte det første bogstav – eksempelvis sætningen: ”Danmark blev nummer fire til europamesterskabet i fodbold i 1964” bliver på den måde til ”DKb#4=EMif-64”.

Tilfældige ord

  • Find nogle tilfældige ord uden sammenhæng, der samtidig er nemme at huske. Bruger man ikke specialtegn, skal adgangskoden mindst være 20 tegn lang
  • For at styrke adgangskoden, kan man bruge specielle hjemmelavede regler
  • Eksempelvis her, hvor bogstav nummer to i hvert ord er med stort. Samtidig er der med vilje lavet stavefejl: Ordene ”cykle motion stol paradis” bliver med den metode til adgangskoden ”sYklemOtjonsTolpAradis”.

Kilde: CFCS, vejledning i passwordsikkerhed

 –> Revisorerne kan i rådgivningen give eksempler på stærke passwords, og hvordan de manuelt kan konstrueres (se tip 3 for passwordmanagere).

Tip 2 - Fler-faktor-autentifikation
Cybersikkerhedseksperter og myndigheder anbefaler fler-faktor-autentifikation (login), og det gør CFCS også. Mange systemer understøtter i dag brugen af loginmetoden, som er et af de sikringstiltag, der er mest effektive i forhold til at øge login-sikkerheden og dermed adgangen til kritiske informationer i it-systemer.

Fler-faktor-autentifikation

Fler-faktor-autentifikation er karakteriseret ved, at brugeren får adgang med sit brugernavn suppleret med to eller tre af:

  • Noget, brugeren ved (f.eks. pinkode eller password)
  • Noget, brugeren har (f.eks. ID-kort, nøglekort, eller USB-nøgler) eller
  • Noget, brugeren er (f.eks. ansigtsgenkendelse eller fingeraftryk), også kaldet biometrisk identifikation.

Oftest benyttes to-faktor-autentifikation, hvor noget, brugeren ved, suppleres med noget, brugeren enten har eller er.

 

Kilde: CFCS, vejledning i passwordsikkerhed

CFCS anbefaler, at der anvendes fler-faktor-autentifikation hvor muligt og altid på konti med adgang til kritiske systemer eller funktioner samt ved fjernadgang til interne systemer.

–> Revisorerne kan vise, hvordan fler-faktor-autentifikation – eksempelvis med google authenticator eller med reference til danskernes NemID – fungerer i praksis. Det kan også være, at revisorerne selv anvender en VPN-login til interne systemer fra fjerndesktop.

Tip 3 - Passwordmanager, hjælp til håndtering af overfloden af passwords
I praksis er det næsten umuligt manuelt at administrere og huske stærke (lange og komplekse) passwords. Som anført i CFCS’ anbefalinger kan en passwordmanager hjælpe her.

Passwordmanager

En passwordmanager er et stykke software, der kan hjælpe med at opbevare ens mange unikke og sikre passwords på en sikker måde. Adgang til de gemte passwords er beskyttet af et hovedpassword.

 

Kilde: CFCS, vejledning i passwordsikkerhed

CFCS anbefaler, at passwordmanagers anvendes, når der er behov for at gemme mange unikke passwords.

–> Der findes mange forskellige løsninger derude, som kan hjælpe – eksempelvis danske Uniqkey, som revisorerne kan tage med til kunderne i cyberrådgivningen.

Tip 4 - Awareness og træning
Brugernes opmærksomhed omkring cybersikkerhed og -risici er afgørende for at hindre, at virksomheder bliver hacket. Ændringer i hackernes metoder bør kommunikeres. Eksempler, virksomhederne eller revisor selv har oplevet, kan kommunikeres. Dermed bliver det mere konkret for modtagerne.

–> Det er vigtigt, at brugerne forstår passwordpolitikken og efterlever kravene til anvendelse og sammensætning af passwords uanset styrke.

Tip 5 - Ændring af alle standard-passwords
It-udstyr og software leveres ofte fra leverandøren med system-konti og standard-passwords. Det er mange gange set i praksis, at disse standard-passwords aldrig bliver ændret – og det ved hackerne godt. Det er selvsagt særligt kritisk, hvis standard-passwords ikke er ændret på kritiske komponenter i virksomhedernes it-miljø – eksempelvis routere, firewalls og servere.

–> Revisorerne bør anbefale virksomhederne at gennemgå adgange til udstyr og software med jævne mellemrum.

Tip 6 - Fokus på administrator-, service- og fjernbrugerkonti
Nogle konti er vigtigere at sikre end andre.

Administrator-, service- og fjernbrugerkonti, også kendt som ”superbrugerkonti” i dagligdagen, er de vigtigste brugerkonti, og hvis de kompromitteres, er der høj risiko for uautoriseret adgang til kritiske informationer. Derfor er der behov for ekstra beskyttelse af disse brugerkonti.

CFCS anbefaler, at superbrugerkonti kun anvendes, når der udføres aktiviteter, der kræver disse særlige privilegier (må eksempelvis ej anvendes som almindelig bruger), sikres med fler-faktor-autentifikation, samt at der følges en fast proces for nedlukning af disse adgange, når medarbejdere forlader virksomhederne.

–> Revisorerne bør anbefale virksomhederne at have særlig opmærksomhed på oprettelse, ændringer og nedlukning af superbrugerkonti.

Tip 7 - Kontospærring og overvågning af login
Besværliggør hackernes adgangsmuligheder - eksempelvis ved:

  • kontospærring, når der med mange loginforsøg prøves at komme på systemerne
  • forsinkelse på nye loginforsøg (eksempelvis 30 sekunder eller mere, når over et nærmere defineret antal loginforsøg)
  • notifikation ved login (eksempelvis via mail eller sms)
  • overvågning (logning og gennemgang heraf) af loginforsøg.

–> Ofte ses det, at der er etableret logning i virksomhederne, men at disse logs ikke bliver gennemgået. Derved er der ikke etableret en sikkerhed – den er først etableret, når loggen anvendes.

Tip 8 - Sikker håndtering af passwords i systemer
Virksomhederne skal sikre, at fortroligheden beskyttes ved anvendelse, kommunikation og opbevaring af passwords. Kommunikation bør ske vha. krypterede forbindelser – se fx vores nyhed om kryptering af e-mails.

–> Det lyder banalt, men ofte ses det, at man i dagligdagen glemmer fortrolighed.

Tip 9 - Virksomhedens passwordpolitik
Den overordnede passwordpolitik kan bygge på principper som (eksempler):

  • Passwords anvendes, når det er nødvendigt og i relation til relevante sikkerhedsmæssige krav
  • Undgå unødigt komplicerede passwordregler – god længde, lavere kompleksitet
  • Passwords må ikke genbruges på tværs af systemer
  • Passwords er personlige og må ikke deles (heller ikke med revisor)
  • Anvend fler-faktor-autentifikation til at øge sikkerheden
  • Brugervenlighed – kultur og adfærd i organisationen
  • Awareness
  • It-understøttelse af passwordmanagers, der hjælper brugeren med at håndtere mange passwords
  • Krav til sikker teknisk håndtering af passwords.     

–> Revisorerne kan tage ovenstående oplistning med i en konkret rådgivningssituation.

Kontakt

  • Thomas Krath Jørgensen

    Fagchef - rapportering, Statsautoriseret revisor

    4193 3148