Key takeaways
- Højtrangerede ledere og virksomhedsejere bruger svage og nemme at knække adgangskoder.
- Menneskelig dovenskab og mangel på ordentlig træning er skylden.
-
Brug af en adgangskodeadministrator er den bedste løsning.
Du synes måske, at din chef burde være et eksempel, når det kommer til god adgangskodebrug, men virkeligheden - overraskelsen - er, at de er lige så dårlige og på nogle måder værre end os andre.
Ifølge en ny rapport fra adgangskodeadministratoren og VPN-tjenesten Nord Security bruger ledere på højt niveau svage adgangskoder, der er lette at knække, ligesom alle andre. Ud over at de ikke gider at beskytte deres egen eller deres virksomheders sikkerhed, ser de faktisk ud til at have en underlig præference for fantastiske væsner.
"Interessant nok viste undersøgelsen, at topledere også i vid udstrækning bruger navne på mennesker (dvs. Tiffany, Charlie, Michael, Jordan) og mytiske skabninger eller dyr (dvs. drage, abe) i deres adgangskoder, " Patricija Černiauskaitė fra Nord Security fort alte Lifewire via e-mail.
For travlt til at pleje
Så hvorfor er ledere så dårlige til adgangskoder? Ligesom alle os andre, tror de, at de har vigtigere ting at gøre.
"Ledere oversvømmes med spørgsmål og information og bliver også bedt om at træffe beslutninger på et splitsekund om en række emner. Selv hvis de kom med en rudimentær kortlægningstilgang til adgangskoder (f.eks. "samme adgangskode + fin@). nce" for finanswebsteder; "samme adgangskode + s0c1al" for sociale websteder), er den sidste ting, de ønsker at gøre, at afbryde deres tankeproces ved at skulle tænke på en specifik adgangskode til et bestemt websted, " sagde 1Password CTO Pedro Canahuati til Lifewire via e-mail.
Resultatet er, at den øverste adgangskode, der bruges af kontorbeboere på højt niveau, er 123456, efterfulgt af den gamle klassiker: password.
Vi ved, at adgangskoder er vigtige, men det gør dem ikke nemmere at huske. Derhjemme er det lige så sikkert som noget andet at skrive dem på papir, men på kontoret er det naturligvis en dårlig idé. Men er det medarbejdernes skyld - på et hvilket som helst niveau - eller skal en virksomheds it-afdeling tage sig af træning og styring af dette? Forsøg trods alt at tænke på et andet område i erhvervslivet, hvor konsekvenserne for fiasko er så alvorlige, men medarbejderne har lov til bare at vinge det.
"Jeg tror, at hvis flere mennesker bliver vist af deres virksomhed, hvordan man forenkler den komplekse verden af adgangskodebevarelse med eksempler, træning og værktøjer, ville folk være mere modtagelige for at implementere stærke adgangskoder," Chris Lepotakis, senior associate hos den globale cybersikkerhedsvurderingsmand Schellman, fort alte Lifewire via e-mail. "I min personlige erfaring har jeg set, at dette er et mangelområde, som flere virksomheder bør overveje at forbedre i deres sikkerhedsuddannelsespensum for medarbejdere."
The Answer
Svaret er at påbyde brugen af en adgangskodemanager af en eller anden art. Der er masser af tjenester at vælge imellem, og de kan integreres med browsere og anden software. En adgangskodeadministrator genererer sikre adgangskoder, husker dem og udfylder dem automatisk, når du har brug for dem.
Alt, brugeren skal gøre, er at huske en enkelt adgangskode eller adgangssætning, den der skal til for at låse adgangskodehåndteringsappen op. Virksomhedssystemer kunne helt sikkert låses ned, så adgangskoder kun kunne indtastes via en adgangskodehåndteringsapp som NordPass eller 1Password, og dermed fjerne det dovne menneske fra ligningen?
I min personlige erfaring har jeg set, at dette er et mangelområde, som flere virksomheder bør overveje at forbedre…
Men selvfølgelig er der et problem her. Os dovne mennesker vil bare vælge 123456 eller poochie89 som hovedadgangskoden, som kunne afsløre hele deres samling af adgangskoder med et velrettet social engineering-angreb. På den anden side er det muligt at knytte denne hovedadgangskode til en fysisk token af en eller anden art, såsom brugerens telefon eller en sikkerhedsnøgle.
Er nogen gode til adgangskoder?
Mens jeg undersøgte denne artikel, spurgte jeg respondenterne, om der er nogen grupper, der faktisk er gode til adgangskodesikkerhed. Jeg tænkte, at sikkerhedsprofessionelle eller it-folk måske kunne gøre det bedre.
Svarene var blandede, men de fleste sagde, at der ikke er nogen gruppe, der skiller sig ud, selvom IT-sikkerhedsfolk heldigvis i det mindste ved, hvad de burde gøre.
"Jeg kan ærligt sige, at de fleste sikkerhedsteams for alle organisationer virkelig ser ud til at håndtere adgangskodesikkerhed bedre," siger Lepotakis, "men jeg vil ikke sige, at det er konsekvent sandt. Jeg tror, at dette virkelig vender tilbage til min original udtalelse i afsnittet om ledere. Vi er alle stadig mennesker, og folk begår enten fejl eller giver afkald på passende sikkerhed for at gøre deres liv lettere."
Det, der kan tages ved alt dette, er, at du skal bruge en adgangskodeadministrator, tage dig tid til at oprette, lære og huske en stærk hovedadgangskode, og aldrig fortælle det til nogen.
Skulle være nemt nok.