MS stoppar lösen
Byte av lösenord ökar inte säkerheten. Istället rekommenderar Microsoft den så kallade Fido-standarden, tvåfaktorsautentisering och att förbjuda alltför enkla lösenord.
Microsofts förändrade lösenordstänk gäller från och med Windows 10 version v1903 och Windows Server v1903, och har mötts av en del frågetecken. Därför hörde Voister av sig till Daniel Akenine, teknik- och säkerhetschef på Microsoft, för att fråga om beslutet samt hur de ser på en lösenordsfri framtid.
– Lösenord är inte är en optimal säkerhetslösning, och det finns flera skäl till det. Vill man vara säker ska man ha olika lösenord på alla sina tjänster, och det blir väldigt svårt att minnas dem. Ett annat problem är att lösenordsdatabaser är en måltavla för hackare. Lösenord bygger på en delad hemlighet och blir hemligheten bruten, antingen av dig eller leverantören, så är säkerheten borta.
– Tredje problemet är att lösenord skickas över nätverk vilket också är en måltavla för olika typer av attacker; till exempel att någon använder uppsnappad information från tidigare kommunikation mellan två parter, för att sedan spela upp samma inloggning igen. Alla dessa bitar är brister som lösenord har i sig.
Vad ser ni som de bästa alternativen till lösenord?
– Fido-standarden, som de flesta stora leverantörerna är med på, är ett intressant alternativ. Den bygger på asymmetrisk kryptering när man registrerar ett nytt konto för en tjänst och skapar en privat och en publik nyckel. Den publika lämnar man över till leverantören medan man behåller den privata. Därmed finns ingen delad hemlighet som kan läcka.
– Om databasen blir hackad är det enda som finns där en stor mängd publika nycklar som är meningslösa i sig. Och de privata nycklarna kan man skydda genom exempelvis ansiktsigenkänning, Touch ID eller olika hårdvara som till exempel Yubikey-enheter. Den typen av inlogg är på många sätt säkrare, enklare och mer transparenta än vad klassiska lösenord är.
Kritiserat beslut
När Microsoft slutade med tvånget att byta lösenord regelbundet så kom åsikter om att det inte var ett helt genomtänkt beslut. Man menade att för att säkerhet ska råda utan lösenordsbyten behöver tvåfaktorsautenticering, MFA, vara implementerat överallt och fullt ut i organisationer, men så är inte fallet idag.
Lösenordsbyten skyddar bara mot en sak, och det är ifall någon stulit ditt lösenord. Om man misstänker det måste man ändå byta direkt och inte vänta.
– Det saknar inte värde att byta lösenord men poängen är att andra säkerhetsmekanismer är bättre. Lösenordsbyten skyddar bara mot en sak, och det är ifall någon stulit ditt lösenord. Om man misstänker det måste man ändå byta direkt och inte vänta. Problemet med tvång på lösenordsbyten är att ifall man har ett lösenord som man tycker är säkert, exempelvis vinterviken20, så ändrar de flesta bara det till vinterviken21, sedan 22 och så vidare. Det är alltför lätt för hackare att gissa sig till.
– Då är en lista med förbjudna lösenord, som en administratör bedömt som osäkra, ett bättre alternativ. Om en hackare får tillgång till en databas med kända lösenord så finns det 100 000-tals lösenord där. Då kan man nyttja de lösenorden som grund för att hacka andra system. Men om användare från början skapar lösenord som skiljer sig från de traditionella eller redan läckta på nätet så skapar det en större effekt än att byta regelbundet.
Shadow IT förstör
Uppfattningar har också kommit om att MFA krävs på grund av att Shadow IT blir allt vanligare, och där är kontrollerna minimala. Shadow IT är utrustning eller program som nyttjas i en organisation men som inte stöds av it-avdelningen, ibland kanske avdelningen inte ens vet att den existerar.
– Det håller jag med om. Analyser som gjorts över attacker som lyckats har kommit fram till här finns vissa brister. Ibland följer inte administratören samma säkerhetspolicys som personalen, som istället sitter på för enkla lösenord och ingen tvåfaktorsautentisering. Det är förstås viktigt att skydda alla administratörskonton på samma sätt eller bättre än användarnas konto. Det görs inte alltid.
Använder vi lösenord om två år?
– Vi kommer fortfarande använda lösenord men i mindre utsträckning. På de viktigaste systemen vi loggar in på dagligen kommer vi kanske inte använda lösenord, men på mindre sajter och exempelvis en router och andra hårdvaruprylar som vi har kvar länge så lär lösenord fortfarande vara nummer ett.
Läs mer om ämnet: