Lördagens webbupplaga av DI (Dagens industri) bjöd läsarna på en artikel vid namn Usel säkerhet på företagen – så skapar du oknäckbara lösenord (betalvägg). Artikeln beskriver lösenordsproblematiken på ett utomordentligt vis och kryddar med flera goda tips kring skapandet av goda lösenord. Dessa tips vänder sig i första hand till företagare då de är artikelns fokusområde.
En av rekommendationerna kan dock inte beskrivas på annat sätt än felaktig, vilseledande och dumdristig. Den anlitade säkerhetsexperten hävdar att ”bäst skydd ger cirka fem lösenord som då och då roteras”.
(Vi utelämnar namn i denna artikel. Detta gör vi eftersom att ursprungsartikeln inte är öppen för allas läsning och för att rekommendationen förhoppningsvis beror på att något har ryckts ur sitt sammanhang eller att ett missförstånd föreligger.)
Det är självfallet bättre att de anställda har fem lösenord än att de använder samma lösenord överallt. Återanvändning av lösenord är dock helt oacceptabelt och får inte förekomma överhuvudtaget, framförallt inte i företagssammanhang.
Rätt rekommendation
Lyckligtvis är det mycket lättare att lösa lösenordsproblematiken än många tror. Företag som administrerar sina användare via katalogtjänster bör dra nytta av dessa i största möjliga utsträckning. Med katalogtjänstens inloggningslösning (Single Sign-On) kan företaget både detektera oväntade inloggningsbeteenden och låta användarna logga in med samma lösenord till allt från företagsmejlen till lönesystemet. Detta kan ske på ett säkert sätt eftersom användarna loggar in genom en central lösning i stället för på de enskilda webbplatserna och -tjänsterna.
Företag som inte har möjlighet att använda Single Sign-On för all autentisering bör skaffa lösenordshanterare till sina anställda. Vår rekommenderade lösenordshanterare Lastpass erbjuder en enterprise-lösning för att administrera organisationens användare och lösenordshanterare från en central plats. Lösningen gör också att anställda, vid behov, kan dela lösenord med varandra utan att förlita sig på anteckningslappar eller kalkylblad. Observera att delade lösenord bör undvikas i största möjliga omfattning. Mer om detta finns att läsa i Bli säker-boken.
Varning! Ingen anställd kan åläggas bördan att komma ihåg unika och starka lösenord till alla tjänster som företaget använder. En sådan uppgift är omänsklig. En policy som insinuerar att detta skulle vara möjligt ber användarna att följa ett regelverk som historien har visat sig vara omöjligt att följa.
Periodiska lösenordsbyten är utdömda
Något vi poängterat många gånger tidigare är att krav på periodiska lösenordsbyten numera är utdömda. Vi pratade bland annat om detta i det första avsnittet av Bli säker-podden. Rekommendationen kring periodiska lösenordsbyten finns tyvärr kvar i många utdaterade lösenordspolicyer. Den är bästa fall onödig och i värsta fall kontraproduktiv.
Under förmiddagen informerade undertecknad DI om felaktigheterna. I skrivande stund har DI varken återkopplat eller korrigerat informationen.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.