Att svaga lösenord är ett av de främsta hoten mot it-säkerheten får vi verkligen hoppas att de flesta känner till idag. Men från vetskap till praktik tycks det fortfarande vara långt. Analysföretaget Ovum presenterade nyligen en global undersökning bland hundratals it-chefer och it-ansvariga, om hur det står till med lösenordshanteringen i deras organisationer. Det visade sig utmynna i en ganska dyster läsning. Över hälften av de svarande uppgav nämligen att de helt överlåter åt sina anställda att hantera sitt eget lösenordsbeteende – ett förfarande som givetvis kan innebära stora risker för organisationen.
61 procent av it-cheferna som tillfrågats menar dessutom att deras organisation uteslutande förlitar sig på personalutbildning för att genomdriva starka lösenord. Anställda får utöver det klara sig på egen hand, utan någon teknik på plats som ställer tvingande krav på en viss nivå av lösenordsstyrka. Tekniken för att skydda mot lösenordsdelning är också alldeles för svag. På frågan om hur organisationen skyddar sig mot onödig lösenordsdelning, hade 64 procent av de svarande ingen teknik på plats och endast 14 procent hade automatiserade kontrollfunktioner på plats för att få vetskap om när det händer. Det råder till exempel brist på implementering av SSO (Single Sign-On) i många organisationer. Faktum är att 56 procent av de undersökta organisationerna inte hade någon SSO-funktion på plats.
Molntjänster en svag punkt
Undersökningen visar också att 78 procent av it-cheferna saknar möjlighet att kontrollera åtkomst till de molnbaserade applikationer som används av deras anställda. Fyra av tio svarande uppger att deras organisation fortfarande är beroende av helt manuella och föråldrade processer för att hantera användarlösen för molnapplikationer. De flesta företag är medvetna om denna brist på insyn och kontroll, men majoriteten gör inte tillräckligt, om något alls, för att ta itu med situationen.
Dessutom uppger 76 procent av IT-cheferna att de upplever många och återkommande problem kring lösenordshanteringen och att mer än en tredjedel av användarna behöver hjälp som kretsar kring lösenord minst en gång i månaden.
”Denna forskning har tydligt identifierat ett brådskande behov av att stänga lösenordsäkerhetsgapet. Alltför många organisationer lägger över ansvaret för lösenordshanteringen på sina anställda och har inte den automatiska lösenhanteringstekniken på plats för att identifiera när saker går fel”, skriver Andrew Kellett, chefsanalytiker för Infrastructure Solutions på Ovum, i samband med att undersökningen publicerades.
Företagsledare en stor säkerhetsrisk
Ovums undersökning baseras alltså på de som ansvarar för it-säkerheten i organisationerna, och betonar riskerna med att låta de anställda själva hantera sina lösenord. Men hur står det då till med lösenordssäkerheten hos de högre upp i trappan, som till exempel vd:ar? Inte heller detta är ett särskilt muntert område. En ny studie från säkerhetsföretaget F-Secure visar att nästan en tredjedel av vd:ar på medelstora och stora bolag har blivit måltavla för riktade attacker efter att deras e-post och lösenord läckt ut. I många fall handlar det om att de använt företagets e-postadress för att registrera sig på andra onlinetjänster och där satt samma lösenord som de har på företaget.
De vanligaste tjänsterna som vd:ar använder företagets e-post på är Linkedin och Dropbox, som båda drabbats av massiva dataintrång de senaste åren och fått stora mängder användardata stulen. F-Secure undersökte e-postadresser som används av toppledare från flera hundra av de största företagen i tio länder. Forskarna jämförde sedan dessa adresser med F-Secures databas över information som läckt till följd av intrång i olika onlinetjänster. I Danmark fann man till exempel att hela 62 procent av vd:arna hade länkat sitt företags e-post med antingen Dropbox eller Linkedin och att denna sedan läckt. I Sverige var motsvarande siffra 27 procent.
Studien visar också att hela 81 procent av vd:arna ovetande har sin e-postadress och annan personlig information som födelsedatum, adresser och telefonnummer tillgänglig på olika former av spamlistor eller läckta marknadsföringsdatabaser. De länder med den högsta nivån på vd-info som exponerats på spam- och marknadsföringslistor är Nederländerna, Storbritannien och USA, som alla landar på 95 procent. Totalt var det endast 18 procent av de undersökta vd:arna som överhuvudtaget inte råkat ut för några läckor som kunde sättas i samband med deras företags e-postadress.
Genom dåliga lösenordsvanor sätter toppcheferna både sina egna konton och företagsdata i riskzonen. Enligt Verizons rapport Data Breach Investigations Report 2016, skedde hela 63 procent av alla bekräftade dataintrång till följd av svaga, standardardiserade eller stulna lösenord.
Att använda ett unikt starkt lösenord för varje tjänst eller konto online är med andra ord grundläggande för att hålla illvilliga hackare på behagligt avstånd – och de flesta säkerhetsexperter rekommenderar att du använder någon typ av lösenordshanterare för att göra det så säkert, smidigt och enkelt som möjligt.