Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

MS stoppar lösen

Byte av lösenord ökar inte säkerheten. Istället rekommenderar Microsoft den så kallade Fido-standarden, tvåfaktorsautentisering och att förbjuda alltför enkla lösenord.

Text Fredrik Adolfsson Foto adobestock 4 september 2019 säkerhet

skyltdocka.jpg

Microsofts förändrade lösenordstänk gäller från och med Windows 10 version v1903 och Windows Server v1903, och har mötts av en del frågetecken. Därför hörde Voister av sig till Daniel Akenine, teknik- och säkerhetschef på Microsoft, för att fråga om beslutet samt hur de ser på en lösenordsfri framtid.

– Lösenord är inte är en optimal säkerhetslösning, och det finns flera skäl till det. Vill man vara säker ska man ha olika lösenord på alla sina tjänster, och det blir väldigt svårt att minnas dem. Ett annat problem är att lösenordsdatabaser är en måltavla för hackare. Lösenord bygger på en delad hemlighet och blir hemligheten bruten, antingen av dig eller leverantören, så är säkerheten borta.

– Tredje problemet är att lösenord skickas över nätverk vilket också är en måltavla för olika typer av attacker; till exempel att någon använder uppsnappad information från tidigare kommunikation mellan två parter, för att sedan spela upp samma inloggning igen. Alla dessa bitar är brister som lösenord har i sig.

Vad ser ni som de bästa alternativen till lösenord?

– Fido-standarden, som de flesta stora leverantörerna är med på, är ett intressant alternativ. Den bygger på asymmetrisk kryptering när man registrerar ett nytt konto för en tjänst och skapar en privat och en publik nyckel. Den publika lämnar man över till leverantören medan man behåller den privata. Därmed finns ingen delad hemlighet som kan läcka.

– Om databasen blir hackad är det enda som finns där en stor mängd publika nycklar som är meningslösa i sig. Och de privata nycklarna kan man skydda genom exempelvis ansiktsigenkänning, Touch ID eller olika hårdvara som till exempel Yubikey-enheter. Den typen av inlogg är på många sätt säkrare, enklare och mer transparenta än vad klassiska lösenord är.

Kritiserat beslut

När Microsoft slutade med tvånget att byta lösenord regelbundet så kom åsikter om att det inte var ett helt genomtänkt beslut. Man menade att för att säkerhet ska råda utan lösenordsbyten behöver tvåfaktorsautenticering, MFA, vara implementerat överallt och fullt ut i organisationer, men så är inte fallet idag.

Lösenordsbyten skyddar bara mot en sak, och det är ifall någon stulit ditt lösenord. Om man misstänker det måste man ändå byta direkt och inte vänta.

– Det saknar inte värde att byta lösenord men poängen är att andra säkerhetsmekanismer är bättre. Lösenordsbyten skyddar bara mot en sak, och det är ifall någon stulit ditt lösenord. Om man misstänker det måste man ändå byta direkt och inte vänta. Problemet med tvång på lösenordsbyten är att ifall man har ett lösenord som man tycker är säkert, exempelvis vinterviken20, så ändrar de flesta bara det till vinterviken21, sedan 22 och så vidare. Det är alltför lätt för hackare att gissa sig till.

– Då är en lista med förbjudna lösenord, som en administratör bedömt som osäkra, ett bättre alternativ. Om en hackare får tillgång till en databas med kända lösenord så finns det 100 000-tals lösenord där. Då kan man nyttja de lösenorden som grund för att hacka andra system. Men om användare från början skapar lösenord som skiljer sig från de traditionella eller redan läckta på nätet så skapar det en större effekt än att byta regelbundet.

Shadow IT förstör

Uppfattningar har också kommit om att MFA krävs på grund av att Shadow IT blir allt vanligare, och där är kontrollerna minimala. Shadow IT är utrustning eller program som nyttjas i en organisation men som inte stöds av it-avdelningen, ibland kanske avdelningen inte ens vet att den existerar.

– Det håller jag med om. Analyser som gjorts över attacker som lyckats har kommit fram till här finns vissa brister. Ibland följer inte administratören samma säkerhetspolicys som personalen, som istället sitter på för enkla lösenord och ingen tvåfaktorsautentisering. Det är förstås viktigt att skydda alla administratörskonton på samma sätt eller bättre än användarnas konto. Det görs inte alltid.

Använder vi lösenord om två år?

– Vi kommer fortfarande använda lösenord men i mindre utsträckning. På de viktigaste systemen vi loggar in på dagligen kommer vi kanske inte använda lösenord, men på mindre sajter och exempelvis en router och andra hårdvaruprylar som vi har kvar länge så lär lösenord fortfarande vara nummer ett.

Rekommenderad läsning

instagram-mat.jpg

Hackad via Insta

5 sep 2019 säkerhet

Just nu sprids ett mejl som uppger att någon försökt logga in på ditt Instagramkonto. Låt inte det ta uppta din tid och klicka inte på någon länk. Meddelandet kommer nämligen inte från Instagram utan från hackare som vill åt din personliga information. 

gdpr-960640.jpg

GDPR-skydd i O365

6 feb 2019 säkerhet

En ny tjänst i Microsoft 365 ska göra det lättare att efterfölja alla kraven som dataskyddsförordningen GDPR innebär.

nyckel-losenord-microsoft.jpg

Sluta byt lösen

5 jun 2019 säkerhet

Microsoft slutar nu med tvånget att användare regelbundet ska byta lösenord. Enligt Microsoft är skyddet med till exempel tvåfaktorsautenticering tillräckligt och säkerheten ökar inte med nya lösenord. 

poliskortege.jpg
video
Ett samarbete mellan Veritas och Voister

Veritas skapar säkra moln

10 jun 2019 säkerhet

Veritas SaaS Backup skyddar din data i molnet från malware och oavsiktliga dataförluster. Verktyget passar Office 365, G-Suite och Salesforce. Implementeringen tar bara några minuter och ingen hårdvara behövs. 

malmo-960640.jpg

W10 för Region Skåne

19 feb 2019 digit

Region Skåne rullar ut Windows 10 till 36 000 klienter och jobbar parallellt med projektet Skånes Digitala Vårdsystem. Båda delarna kommer att förändra regionens sätt att arbeta produktivt. 

ordmoln960640.jpg

Säkra dina lösenord

28 feb 2019 säkerhet

Två av tre personer använder samma lösenord till flera olika onlinekonton. Samtidigt så tror majoriteten att de är bättre än snittet på att säkra sina konton från cyberhot. 

gotlandWEBB.jpg

Mer pedagogik i Visby med O365

24 okt 2017 it i skolan

Smidigare administration, enklare kommunikation och mer tid för pedagogik och erfarenhetsutbyte blev resultatet när har S:t Hansskolan i Visby införde 0ffice 365.

gdpr-25-maj-folk-people.jpg
video
Ett samarbete mellan Trend Micro och Voister

Så säkrar du O365

5 mar 2018 säkerhet

Över 90 procent av alla ransomwareattacker sker via mejl. Office 365 har ett inbyggt skydd men för att säkra sig ytterligare behöver det skyddet kompletteras. Nu finns det möjlighet att via Cloud App Security for Office 365 testa om det finns skadlig kod i mejlen.

dala hästar i olika färger och storlekar på rad.jpg

It-hoten i Sverige

3 jul 2018 säkerhet

För att alla typer av cyberbrott ska minska, krävs det gedigna insatser från hela samhället. I Japan kom brottslingar så sent som i våras över miljontals dollar på 45 minuter i en kortbedrägerihärva. Samtidigt ökar risken med automatiserad cyberbrottslighet i takt med att AI utvecklas.