Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

MS stoppar lösen

skyltdocka.jpg

Byte av lösenord ökar inte säkerheten. Istället rekommenderar Microsoft den så kallade Fido-standarden, tvåfaktorsautentisering och att förbjuda alltför enkla lösenord.

Microsofts förändrade lösenordstänk gäller från och med Windows 10 version v1903 och Windows Server v1903, och har mötts av en del frågetecken. Därför hörde Voister av sig till Daniel Akenine, teknik- och säkerhetschef på Microsoft, för att fråga om beslutet samt hur de ser på en lösenordsfri framtid.

– Lösenord är inte är en optimal säkerhetslösning, och det finns flera skäl till det. Vill man vara säker ska man ha olika lösenord på alla sina tjänster, och det blir väldigt svårt att minnas dem. Ett annat problem är att lösenordsdatabaser är en måltavla för hackare. Lösenord bygger på en delad hemlighet och blir hemligheten bruten, antingen av dig eller leverantören, så är säkerheten borta.

– Tredje problemet är att lösenord skickas över nätverk vilket också är en måltavla för olika typer av attacker; till exempel att någon använder uppsnappad information från tidigare kommunikation mellan två parter, för att sedan spela upp samma inloggning igen. Alla dessa bitar är brister som lösenord har i sig.

Vad ser ni som de bästa alternativen till lösenord?

– Fido-standarden, som de flesta stora leverantörerna är med på, är ett intressant alternativ. Den bygger på asymmetrisk kryptering när man registrerar ett nytt konto för en tjänst och skapar en privat och en publik nyckel. Den publika lämnar man över till leverantören medan man behåller den privata. Därmed finns ingen delad hemlighet som kan läcka.

– Om databasen blir hackad är det enda som finns där en stor mängd publika nycklar som är meningslösa i sig. Och de privata nycklarna kan man skydda genom exempelvis ansiktsigenkänning, Touch ID eller olika hårdvara som till exempel Yubikey-enheter. Den typen av inlogg är på många sätt säkrare, enklare och mer transparenta än vad klassiska lösenord är.

Kritiserat beslut

När Microsoft slutade med tvånget att byta lösenord regelbundet så kom åsikter om att det inte var ett helt genomtänkt beslut. Man menade att för att säkerhet ska råda utan lösenordsbyten behöver tvåfaktorsautenticering, MFA, vara implementerat överallt och fullt ut i organisationer, men så är inte fallet idag.

Lösenordsbyten skyddar bara mot en sak, och det är ifall någon stulit ditt lösenord. Om man misstänker det måste man ändå byta direkt och inte vänta.

– Det saknar inte värde att byta lösenord men poängen är att andra säkerhetsmekanismer är bättre. Lösenordsbyten skyddar bara mot en sak, och det är ifall någon stulit ditt lösenord. Om man misstänker det måste man ändå byta direkt och inte vänta. Problemet med tvång på lösenordsbyten är att ifall man har ett lösenord som man tycker är säkert, exempelvis vinterviken20, så ändrar de flesta bara det till vinterviken21, sedan 22 och så vidare. Det är alltför lätt för hackare att gissa sig till.

– Då är en lista med förbjudna lösenord, som en administratör bedömt som osäkra, ett bättre alternativ. Om en hackare får tillgång till en databas med kända lösenord så finns det 100 000-tals lösenord där. Då kan man nyttja de lösenorden som grund för att hacka andra system. Men om användare från början skapar lösenord som skiljer sig från de traditionella eller redan läckta på nätet så skapar det en större effekt än att byta regelbundet.

Shadow IT förstör

Uppfattningar har också kommit om att MFA krävs på grund av att Shadow IT blir allt vanligare, och där är kontrollerna minimala. Shadow IT är utrustning eller program som nyttjas i en organisation men som inte stöds av it-avdelningen, ibland kanske avdelningen inte ens vet att den existerar.

– Det håller jag med om. Analyser som gjorts över attacker som lyckats har kommit fram till här finns vissa brister. Ibland följer inte administratören samma säkerhetspolicys som personalen, som istället sitter på för enkla lösenord och ingen tvåfaktorsautentisering. Det är förstås viktigt att skydda alla administratörskonton på samma sätt eller bättre än användarnas konto. Det görs inte alltid.

Använder vi lösenord om två år?

– Vi kommer fortfarande använda lösenord men i mindre utsträckning. På de viktigaste systemen vi loggar in på dagligen kommer vi kanske inte använda lösenord, men på mindre sajter och exempelvis en router och andra hårdvaruprylar som vi har kvar länge så lär lösenord fortfarande vara nummer ett.

4 september 2019 Reporter Fredrik Adolfsson säkerhet Foto adobestock

Rekommenderad läsning

Sveriges Flagga Sorg

Försvar mot cyberattacker

18 feb 2021 säkerhet

Krigföring utan vapen, sårbarheter i samhället och hur vi kan förbereda oss för att gå offline. Det var några av ämnena när MSB, Försvarsmakten och Microsoft diskuterade cybersäkerhet. 

Flera Små Rosa Skåp Med Lås
video
Ett samarbete med F-Secure

Så säkrar Lomma O365

8 jan 2021 digit

Bland fyra miljoner mejl upptäckte Lomma 51 osäkra objekt och 104 osäkra webbadresser. Tack vare F-Secure Cloud Protection för Office 365 har kommunen nu ett avancerat skydd mot virus, trojaner, ransomware och annan avancerad kod.

Publik Stolar
video
Ett samarbete med Microsoft

Azure för publik sektor

1 dec 2020 digit

Microsoft lanserar Molndesign för Offentlig Sektor, en lösning som ska förenkla användandet av molntjänster i Microsoft Azure för kommuner, regioner och myndigheter.

Mobiltelefoner Med Säkerhetsmeddelande För Inlogg

MS tvekar om sms

16 nov 2020 säkerhet

Att logga in med hjälp av sms är inte tillräckligt säkert. Det menar Alex Weiner, säkerhetsexpert på Microsoft, som förespråkar flerfaktorsautentisering, men inte via telefonnätet.

Ms Corona 960640

MS plan för säkerhet

10 nov 2020 säkerhet

Microsoft vill göra det enklare att ha koll på regler och förordningar samt upptäcka och svara på cyberattacker. Som en följd av coronapandemin lanserade man på Ignite ett nytt verktyg för regelefterlevnad och ett XDR-skydd som tar hand om bland annat appar, moln och IoT-enheter.

Massa Människor Sedda Ovanifrån
video
Ett samarbete med Microsoft

Säker hantering i Härryda

2 nov 2020 säkerhet

Engagerade medarbetare var en nyckelfaktor när Härryda kommun införde Microsoft Identity Manager, mitt i coronapandemin. Resultatet är säkrare, smartare och effektivare identitetshantering.

Phishing Teams (1)

Nätfiske med Teams

28 okt 2020 säkerhet

Upp till 50 000 Office 365-användare har blivit måltavla för en utbredd nätfiskeattack. Via mejl säger hackarna att du har missat en chatt i Microsoft Teams, men istället tar de dina inloggningsuppgifter. 

Massa Mogen Frukt

MS AI-tips

18 sep 2020 digit

Att utbilda medarbetarna inom AI är minst lika viktigt som att ha rätt teknik på plats. Det visar en ny undersökning från Microsoft.

Midsommarstång Sverige

Så hackas Sverige

24 jun 2020 säkerhet

De vanliga bedrägeribrotten minskar för första gången på evigheter samtidigt som staters cyberkrigsföring utvidgas och växer. Allt vanligare blir det även med attacker mot personer, inte teknik, vilket gör den basala cyberhygienen än mer viktig. Det menar företrädare från polisen, Statsrådsberedningen och Microsoft under Framtidsarenan.