Derfor er stærke adgangskoder ikke længere nok!

Derfor er stærke adgangskoder ikke længere nok!

Ideen om at bruge kombinationen af brugernavn og adgangskode til at få adgang til forskellige filer og tjenester er ikke ny. Det har været en fast bestanddel af it-verden i årtier.

I dag skal vi logge ind alle steder, på tværs af apps, tjenester og programmer. Og samme ældgamle logintype er stadig utroligt meget anvendt. Det er ikke underligt, at hackere for længst har bemærket dette. De bruger det som en mulighed for at få adgang til dine systemer.

Udfordringerne ved brugernavn og adgangskode

Det at bruge login og adgangskodekombination til at få adgang til tjenester eller ressourcer er ikke en dårlig idé i sig selv. Men i betragtning af antallet af måder, hvorpå denne information kan blive stjålet, er det en meget usikker metode til at autentificere en bruger i et moderne og hybridt arbejdsmiljø.

Der er flere udfordringer ved at give adgang, kun ved brug af brugernavn og adgangskode. Her er nogle eksempler:

• Keyloggere er et stykke software, som kan bruges til lydløst at kopiere alle data, der indtastes via tastaturet, og efterfølgende sende indtastninger til hackeren. Hvis man kan se alt hvad der bliver indtastet på en enhed, så betyder en stærk adgangskode ikke noget.
• Spyware kan bruges til at overvåge brugerens adfærd, ofte ved at tage skærmbilleder eller sende trafikdata til hackeren. På samme måde som ved keyloggere, så beskytter en stærk adgangskode ikke, hvis den kendes af andre.
• Phishing-e-mails kan bruges til at manipulere brugeren til at afsløre deres brugernavn og adgangskode. Dette anvendes også i stor grad i Danmark.

Så skal vi ikke glemme af tjenester og services til tider selv bliver hacket. Det kan resultere i at brugernavne og adgangskoder kan blive tilgængelige for alle og enhver.

Det at anvende et brugernavn samt adgangskode til at give en bruger adgang, er der for ikke længere nok. Der skal mere til at beskytte dine informationer og brugere.

Alternativer til brugernavn og adgangskode

Microsoft kom som nogle af de første med en anbefaling om at droppe adgangskoder. Alternativet skal vi bruge andre teknologier som fx biometrisk adgang, multifaktoradgang og betinget adgang. Hele tanken er at der skal mere til for at få adgang end blot en række tegn. Noget du kan læse mere om her.

Grundlæggende gælder det om at sætte flere barrierer op, inden systemet giver en bruger adgang. Her er nogle eksempler på teknologier, som anvendes til at opstille disse barrierer.

Loginbekræftelse

Når en given bruger forsøger at få adgang til en tjeneste eller service, kan der blive udført en bekræftelse af dette loginforsøg. Det kan ske på flere forskellige måder, her er nogle eksempler:

• En SMS-besked med en ekstra unik kode sendes til brugerens telefon. Denne kode skal så indtastes før det gives adgang. Ideen er at nu skal uvedkommende både have brugernavn, adgangskode samt brugerens telefon for at få adgang.
• Godkendelses apps – Når brugeren forsøger at logge ind, vil en app på deres telefon bede om bekræftelse eller generere en unik kode som igen skal indtastes. På samme måde som før, kræver det nu at uvedkommende har adgang til brugernavn, adgangskode og telefonen.
• Multifactor godkendelse – Eller på dansk ”fler-faktor-godkendelse”. Nu kan der opsættes flere barrierer før der gives adgang. Fx kan der kun gives adgang hvis brugeren befinder sig fysisk i Danmark, er på arbejde, samt godkender med app og kender brugernavn og adgangskode. Nu skal uvedkommende kende meget til brugeren og virksomhedens it-løsning for at få adgang.
• Fysiske nøgler – Som vi kender det fra bilen eller huset, så skal vi have en fysisk nøgle for at få adgang. Dette kan også gøres med it-systemer. En fysisk nøgle kan være en sikret USB-enhed, som skal være tilsluttet den enhed man forsøger at logge ind fra, eller en chip som skal scannes (Kendes fx fra kreditkort). Du kan læse mere om det her

Usikkerhederne

Brug af loginbekræftelse er en langt sikrere metode til login. Men det er ikke 100% sikkert. At skulle hacke to systemer på én gang – for eksempel en telefon og en pc – er en meget vanskelig opgave at udføre. Det samme kan siges om SIM-jacking: det kan gøres, men det er ikke en nem proces. SIM-jacking kræver at man fx narrer en teleoperatør til at migrere et nummer til et nyt SIM-kort, som hackeren så har kontrol over.

Ikke desto mindre kan disse metoder også blive kompromitteret, især hvis brugeren ubevidst hjælper hackerne. Forskellige socialengineering-angreb udnytter menneskets natur og gode vilje. De narrer ofre til at videregive personlige oplysninger eller videresende engangskoder til hackerne. Fysiske nøglerne kan blive stjålet fra brugeren, og så kan disse anvendes til at få adgang.

I en undersøgelse fra 2019 viste det sig at 34 % af alle succesfulde angreb, havde hjælp fra brugeren selv, bevidst eller ubevidst. Derfor er dine brugere også en faktor, som skal håndteres. Den bedste løsning for dine medarbejdere er uddannelse og bevidstgørelse om de nuværende metoder til socialeengineering-angreb.

Ved at lære, hvordan hackere narrer ofrene til at videregive følsomme oplysninger, er medarbejderne i stand til at stoppe det i tide, før de kommer til at gøre noget forkert.