81 % av datainnbrudd involverer bruk av stjålne passord og identiteter. I tillegg ser vi at de uønskede hendelsene der inntrengere klarer å skaffe seg gyldige passord i virksomheten ofte blir mye mer omfattende og alvorlige. Et godt eksempel er den nylige hendelsen hos Hydro, der hackere angrep den sentrale katalogen (Microsoft AD) som blant annet inneholder hashede passord til alle i virksomheten.
Sterke passord er derfor et ekstremt effektivt sikkerhetstiltak. Men som vi alle vet; passord er noe &!#$%!!
Det er dessverre vanskelig å lage sterke passord, det er ikke lett å huske passord, det finnes få løsninger som fjerner behovet for passord, og regler om kompleksitet og passordbytte bidrar til at brukere velger svake passord (“passordsyken”).
Tvungent passordbytte er også kostbart: Hvis 2,7 millioner nordmenn i arbeid bruker 1 time totalt årlig til ca. kr 500 i verdiskapning i timen så er det 1,35 milliarder kroner i årlig tapt verdiskapning. Antageligvis bruker de fleste av oss langt mer tid om vi tar med tid benyttet til å frustrert forsøke å huske på passordet man byttet rett før sommerferien.
Vi vet også at passordbytte virker mot sin hensikt. Brukeren vet at han/hun må bytte, så han/hun lager seg et system, f.eks. komponerer passordet sitt basert på årstid og år: «Vår2019!». Dette er ikke et sterkt passord. Når vi gjennomfører passordrevisjoner hos våre kunder og tester passordkvaliteten hos dem er det svært ofte vi finner slike mønstre. «Liverpool81!» er et annet typisk eksempel. I tabellen under er anonymiserte eksempler fra en test vi gjorde der vi klarte å knekke over 80 % av alle passordene i virksomheten:
| Antall | Prosent | Format | Eksempel |
| 719 | 84 % | Tekststreng + Tall | Sommer2019 |
| 93 | 10 % | Tekststreng | vindkraft |
| 14 | 1 % | Tekststreng + Tall + Spesialtegn | Dallas2016! |
| 10 | 1 % | Tekststreng + Tall + Tekststreng | Passw0rd1 |
| 9 | 1 % | Annen | A00x02 |
| 6 | 0 % | Tall + Tekststreng | 11Apples |
| 1 | 0 % | Spesialtegn + Tekststreng + Tall | !Wiz1234 |
| 1 | 0 % | Tall + Tekststreng + Tall | 321Jubel1 |
Problemene med disse eksemplene er at det er svake passord; passord som er enkle å gjette. Et sterkt passord kan være mange ting, men den viktigste komponenten er at det er langt, og helst mer enn 14 tegn.
Det går an å gjøre noe med dette problemet. For å få brukerne til å velge sterke passord, pleier vi å anbefale en trade-off: Øke kravet til lengde på passordet mot at brukeren aldri må bytte passord igjen.
Hvis man samtidig gir brukeren godt opplæringsmateriale om hvordan han/hun kan lage et sterkt passord (et langt et!) vil man etter vår erfaring se en markant økning i antallet sterke passord, og dermed en kvantifiserbar bedring av sikkerheten. I tillegg vil man få mindre tidsbruk på passord, samt færre supporthenvendelser om nettopp passord.
Vi i Transcendent Group vet at det finnes smarte løsninger på mange sikkerhetsutfordringer, og at mange kostbare tradisjonelle sikkerhetstiltak virker mot sin hensikt. Brukerne fortjener bedre, så gi dem muligheten til å lage og huske et bedre og sterkere passord!
Forfatter Carsten Maartmann-Moe
