Din sikkerhed starter med en
stærk password politik

Et kompromitteret password er den letteste metode til at skaffe sig uautoriseret adgang til kritisk information og derfor en yderst populær og effektiv angrebstaktik for en hacker.

Passwords er i mange tilfælde nemme – både at få fat i og at bryde og det anslås, at op imod 80-90% af alle sikkerhedshændelser starter med et hacket password.

Derfor er din password sikkerhed et afgørende element af din samlede IT-sikkerhed – men sjældent tilstrækkeligt prioriteret og ofte dikteret af brugerne frem for IT-afdelingen.

Læs med her og få tips og gode råd til styrkede password og dermed højere sikkerhed. Vi beskriver også en række værktøjer i Microsoft 365, der hjælper til øget password sikkerhed.

Vi kigger bl.a. nærmere på

  • Den typiske password adfærd – lad ikke brugerne diktere virksomhedens sikkerhed
  • Hvordan du sammensætter et stærkt password
  • MFA – et need to have
  • Azure Password Protection – værktøjet til en stærk password politik
  • Selfservice Password Reset – lad brugeren enkelt og sikkert resette sit password
  • Azure Identity Protection – overvåg og reager på mistænkelige identiteter
  • I hvilke Microsoft 365 licenser får du de uundværlige værktøjer

Den typiske password adfærd

Vi har i dag et utal af logins til div. services og tjenester – både privat og på jobbet. Derfor er vi tilbøjelige til at vælge et password, der et let at huske og uden for mange tal og specialtegn.

Tilmed “genbruger” vi ofte et password til at tilgå forskellige – både private og arbejdsrelaterede tjenester.

Hånden på hjertet – genkender vi ikke alle simple password kombinationer a la; Vinter2022 eller Password1234?

Sandsynligheden for at dine medarbejdere også gør sig “skyldige” i “lette” password, der oven i købet genbruges – den er stor.

Derfor anbefales det, at du som ansvarlig for virksomhedens samlede sikkerhed, udarbejder en standard for et stærkt password og dermed undgår, at virksomhedens password sikkerhed dikteres af brugernes adfærd.

Hvad er et stærkt password? 5 råd til en stærk adgangskode

Styrken af et password afhænger 100% af længden og kombinationen af tal, bogstaver og tegn. Jo højere kompleksitet – jo stærkere password.

Vi anbefaler, at du følger disse 5 råd:

  • minimum 15 tegn
  • skal indeholde specialtegn
  • skal indeholde tal
  • skal indeholde både store og små bogstaver
  • koden bruges kun ét sted – brug altid unikke passwords!

Følger du denne anbefaling, får du teoretisk set et password, der tager 12 millioner år at hacke.

Med komplekse og dermed også sikre passwords undgår du også at “forstyrre” dine brugere med løbende password resets og i stedet kun afkræve brugeren et nyt password ved evt. unormal adfærd eller mistanke om en sikkerhedshændelse.

Multi-Factor Authentication (MFA)

MFA er ikke længere nice to have – men NEED TO HAVE!

I dag er dine brugere ofte på farten. De arbejder hjemmefra, er på kundemøder eller forretningsrejse. De tilgår virksomhedens data, systemer og netværk fra forskellige lokationer og enheder, hvilket udvider hackerens angrebsflade.

Med MFA verificerer du en bruger ved at kræve flere oplysninger i kombination med hans password, fx en kode fra hans smartphone, svaret på et sikkerhedsspørgsmål, et fingeraftryk eller en ansigtsgenkendelse.

Det sikrer effektivt brugerens identitet og gør et evt. stjålet password ubrugeligt for hackeren.

Self-service Password Reset

For at øge sikkerheden vælger mange virksomheder at kræve løbende password resets. Det behøver de principielt ikke, hvis de følger anbefalingen om min. 15 karakterer i kombination med tal, bogstaver og specialtegn.

Men er uheldet ude, gør Self-service Password Reset det nemt og sikkert at lave et brugerdrevet skift af password til alle medarbejdere.

Det betyder, at bliver et password kompromitteret kan en brugere enkelt og hurtigt generere et nyt uden involvering af IT-afdelingen.

Du undgår samtidig at brugere “opfinder” deres egen måde at huske passwords på, fx ved at skrive dem ned. Skulle de glemme det, opretter de blot et nyt via Self-service Password Reset.

Azure AD Password Protection

Med Azure AD Password Protection lægger du endnu et lag af sikkerhed på din password policy.

Med sin indbyggede database over globale “forbudte” ord, fx sommer, vinter, password123, scanner værktøjet dit miljø og gør det muligt at detektere og fjerne “svage” adgangskoder. Du har ligeledes mulighed for at tilføje egne og virksomhedsspecifikke ord til listen over termer du ikke tillader indgår i et password, fx firmanavn, firmaadresse og produktnavne.

Brugen af Azure AD Password Protection begrænser risikoen betragtelig for kompromitering fx i forbindelse med et password spray-angreb.

Azure Identity Protection

Identity Protection er værktøjet, der hjælper dig med at overvåge og detektere risici knyttet til brugeridentiteter fx; brugen af anonyme IP-adresser, login fra atypiske lokationer, ukendte login rettigheder, password spray m.m.

Identity Protection rapporterer på tre nøgleområder:

  • Risikable brugere
  • Risikofyldte logins
  • Risikodetekteringer

På den baggrund kan du foretage manuel handling på de risici, hvor det er nødvendigt.

 

Fremtiden er password less

Passwords er i udgangspunktet besværlige – vi kan glemme dem og vi kan miste dem. Derfor ser vi også nye og smartere teknologier, der betyder at vi i fremtiden ikke behøver at forholde os til passwords.

Tokens, security keys og teknologier som fx Windows Hello med fingeraftryk- og ansigtsgenkendelse har gjort sit indtog og i stigende grad understøttet i moderne hardware.

Teknologier, der gør hverdagen mindre kompliceret i en verden fuld af passwords.

Indbygget password sikkerhed i din Microsoft platform

Anvender du Microsoft services i dag, har du allerede adgang til værktøjer, der hjælper til en højere password sikkerhed. Værtøjer, der i kombination med stærke passwords øger din generelle IT-sikkerhed betragtelig. Så har du ikke allerede taget dem i brug opfordrer vi til, at de indgår som en del af din samlede password strategi for virksomheden.

Password anbefalinger fra Center for Cybersikkerhed

Center for Cybersikkerhed arbejder for et sikkert digitalt Danmark og hjælper danske myndigheder og virksomheder med at forebygge, imødegå og beskytte sig mod cyberangreb.

De udgiver løbende vejledninger på forskellige sikkerhedsområder. Deres senest opdateret vejledning omkring passwordsikkerhed udkom oktober 2023.

Du ønsker at styrke din sikkerhed. Vi hjælper dig med at realisere det.

Kontakt os via kontaktformularen, på telefon +45 8882 6290 eller
e-mail service@timengo.com.

    Ved at indsende denne formular giver du samtykke til, at timengo a/s må behandle de personoplysninger, du har indtastet for at kunne håndtere din henvendelse. Læs mere om dine rettigheder, samt hvordan du kan kontakte timengo a/s og/eller klage i vores persondatapolitik.