Fire passordmyter du bør kjenne til

Ifølge Per Thorsheim, passordguru og grunnlegger av PasswordCon, "blir ikke passord borte". Autentiseringsmekanismer kommer og går, men passord har vært her i mange tiår, og det ser ikke ut til å bli borte med det første.

"Vi har prøvd å bli kvitt passord i lang tid, og vi har lyktes noen steder." sier Quentyn. "Samtidig er passord en veldig praktisk måte å autentisere brukeren på. Det betyr ikke at vi ikke skal slutte å se etter andre, bedre løsninger, eller å supplere med andre autentiseringsmekanismer". Mange av oss bruker allerede biometri, som fingeravtrykk og ansiktsgjenkjenning, og i mange tilfeller er dette gode nok sikkerhetskrav, mener Quentyn.

"Er biometri tilstrekkelig for å sikre et bankhvelv? Nei. Er det tilstrekkelig å sikre et kredittkort? Ja, det er det". Men brukere bør være klar over teknologiens begrensninger. Hvis ansiktet eller fingeravtrykket ditt blir kopiert, hva kan du bruke da? Biometri er bra, men det er inngripende, og noen ganger må feilmarginene settes så bred at teknologien blir lett å lure. Til sammenligning gir sikkerhetstokens og lignende en langt bedre sikkerhet, slik ting ser ut i dag."

"Mange sier "ikke del passordet ditt og husk å endre det ofte". Vet du hva? Det er rett og slett ikke bra nok. Flerfaktorautentisering er helt avgjørende. Det er også avgjørende å ha en sterk analysemotor i bakgrunnen. "Å analysere konteksten til brukerpålogginger er betydelig mer sikkert en to-faktor alene, mener Quentyn. Man bør være kritisk når noen som jobber f.eks. i Oslo plutselig prøver å logge seg inn fra Vietnam. Denne typen analyse kan raskt implementeres ved hjelp av produkter fra flere anerkjente leverandører. Gjennom analyser kan systemene umiddelbart flagge avvik, som plassering og IP-adresse, eller hvilke enheter som brukes.

Som et ekstra individuelt sikkerhetstiltak, anbefaler Quentyn også maskinvaretokens – fysiske autentiseringsnøkler– som YubiKey eller Googles Titan Security Key. "De er litt upraktiske, men de er likevel bedre, fordi du har passord som man ikke kan stjele. Ja, selve nøkkelen kan bli stjålet, men i de fleste tilfeller kommer hovedtrusselen fra internettet."

Flerfaktorautorisering (MFA) gir utmerket sikkerhet i mange sammenhenger, men det er ikke enden på visa. MFA kan for eksempel ikke forhindre menneskelige feil. "Bruker du ikke MFA både på dine private sosiale medier kontoer og jobbmailen, er du utsatt for å at noen tar seg inn på kontoene dine. Men selv MFA er ikke uten svakheter", forklarer Quentyn. Push-varselangrep har blitt mer og mer vanlig. Dette vil si at hackere bombarderer brukerne med varsler, noe som øker risikoen for menneskelig feil. Dette funger i mange tilfeller da det tester menneskers tålmodighet – mange blir lei og til slutt trykker ‘godta’, bare for å bli kvitt strømmen av varsler. "Du kan motta hundrevis av varsler, og godkjenner du bare en, er angriperen inne". Selv om MFA er et effektivt sikkerhetstiltak, er det uunngåelig at skjønnsfeil vil ende opp med å føre til sikkerhetsbrudd. "Kort sagt- MFA kan ikke beskytte deg mot alle risikoer, så du må fortsatt ha god dømmekraft når det kommer til andre typer angrep, som pushvarsel-angrep, og phishing."

"Jeg sier ikke at det er en god idé å skrive ned passordene dine på en Post-It-lapp og feste dem til skjermen din," sier Quentyn. "Men, i noen sammenhenger, er det sannsynligvis tryggere å skrive dem ned enn forsøke å lagre dem på nettet. Tenk deg å forklare dine foreldre eller besteforeldre hvordan en bruker en passord-manager!". En må alltid basere seg på det trusselbildet en har. Denne modellen er ikke statisk, men høyst situasjonsbetinget. "Dermed kan det være helt galt å skrive ned passord i noen sammenhenger, men akseptabelt i andre sammenhenger." Quentyn gir et eksempel på å alltid låse den bærbare datamaskinen. "Å gå fra en ulåst PCen på f.eks. en kafé en veldig dårlig ide. Men er du hjemme er trusselen en helt annet. Når det gjelder eldre familiemedlemmer, er det usannsynlig at noen vil bryte seg inn i huset deres for å stjele passordene deres. "De er mer truet av et angrep på nett, så ved å skrive ned passordene kan en oppnå en tryggere og bedre bruksopplevelse totalt sett."

Quentyns budskap kan ikke gjentas for mange ganger. For enkeltpersoner; bruk MFA og en god dose sunn fornuft. For organisasjoner; utfør risikoanalyser og etabler kontinuerlig overvåkning - For selv om passord ikke blir borte med det første, er de heller ikke bra nok alene.