Om Passord på World Password Day - 6. mai 2021



I dag, torsdag 6. mai 2021, er det en markering internasjonalt som "World Password Day". Denne dagen, som alltid er første torsdag i mai hvert år, markeres for å promotere bedre vaner og praksis rundt bruk av passord som beskyttelsesmetode og sikkerhetsinformasjon. Kilde: World Password Day (nationaltoday.com).

I dette innlegget tenkte jeg å skrive litt om hva jeg synes er viktig å tenke på i dag, spesielt med fokus på at millioner av brukere i Norge, og enda flere internasjonalt, benytter Microsoft Cloud og andre skyløsninger mer enn noen gang, både i jobb, skole og privat.

Beskytt dine passord

Passord både har vært og er fortsatt noe vi må forholde oss til ved pålogging til tjenester. Samtidig er det i dagens cybersikkerhet verden ikke tvil om at passord representerer den aller største sårbarheten og angrepsflaten for hackere til å skaffe seg tilgang til data de ikke skulle hatt, enten som et steg på veien inn i en organisasjon eller for å få tak i sensitiv informasjon som kan benyttes i ransomware målrettede angrep. I fjor ble dataangrepet på Stortinget mye omtalt, og i vinter har vi hatt flere andre tilfeller, les mer her: Tre alvorlige dataangrep den siste måneden: Kripos ser en økning i profesjonelle hackere – NRK Innlandet – Lokale nyheter, TV og radio.

Her er noen generelle råd om passord, enten du bruker private kontoer, jobb eller skole kontoer:
 
  • Bruk 2-trinn bekreftelse alle steder du kan! For organisasjoner kan dette påtvinges med sikkerhetspolicy.
  • Ikke bruk samme passord overalt!
  • Bruk en password manager for å lagre dine passord.
  • Bruk en nettleser som kan hjelpe deg å lagre passord sikkert og oppdage passord på avveie.
Et eksempel på det siste er Microsoft's nye Edge nettleser:



Hvis det er en ting du bør følge opp i dag på World Password Day, så er det å sørge for at du er beskyttet med 2-faktor autentisering på de kontoene du kan, og hvis du bruker samme passord flere steder, i dag er en god anledning til å gjøre noe med dette.


Om Multifaktor autentisering

Autentisering med brukernavn og passord, som vi er vant til kalles ofte for single-faktor autentisering. Det er basert på noe vi vet, og dermed så kan også andre som kan skaffe seg, eller gjette seg til det vi vet, også logge seg inn på vegne av oss.

Multi-faktor, flerfaktor, 2-faktor autentisering legger til en ekstra faktor: Noe vi har sammen med det vi vet. Dette er gjerne mobiltelefonen vår, som kan motta en SMS for bekreftelse av pålogging som kanskje det vanligste som har vært og er i bruk. Dermed så øker vi sikkerheten vet at uvedkommende som har fått tak i brukernavnet og passordet, ikke lenger kan logge seg på som oss, da de ikke disponerer det samme vi har.

Jeg liker å bruke ordet Multi-faktor autentisering, MFA, da dette kan være mer enn en 2-trinns bekreftelse. For eksempel så kan vi med MFA kombinere: Noe vi vet + Noe vi har + Noe vi ER! Dette siste er gjerne biometriske signaler som touch id/fingeravtrykk eller ansiktsgjenkjenning/face id. Mange er i dag vant til å bruke dette på sine enheter (Windows Hello f.eks.) eller via smarttelefoner.

Er det en ting du skal gjøre i dag på World Password Day, så er det å sørge for at du bruker de mulighetene du har på din PC, Mac eller Smartelefon til å sette opp MFA for pålogging til enheten.

Med multi-faktor autentisering øker vi sikkerheten, men ikke alle opplever at det er like brukervennlig å først logge seg inn med brukernavn og passord, for deretter i neste steg å bekrefte påloggingen med ytterligere en faktor, som å skrive inn en kode vi har fått på SMS. For å få det beste av 2 verdener bør du derfor se på Passordfri autentisering:


Gå Passordfritt!

Hva betyr det egentlig å gå passordfritt? Kan vi glemme bort passord helt? Nei, vi er nok ikke der ennå, selv om blant annet Microsoft jobber mot en passordfri verden i fremtiden.

Samtidig er det mange løsninger som i dag støtter passordfri autentisering. Dette fungerer på den måten at man første gang autentiserer seg med brukernavn og passord, eller en 1-gangs tilgangskode, bekrefter dette med MFA, og binder din legitimasjon til en enhet eller sikkerhetsnøkkel. Det er dette som skjer med Windows Hello, hvor du etter første gangs oppsett bruker biometri eller PIN kode for å logge deg på passordfritt. Det samme skjer på smarttelefoner som støtter innlogging jobb- og skole kontoer og tilknytning til organisasjonens App'er  og data. 

Har du ikke en fast, egen enhet du logger på fra, så kan du bruke Microsoft Authenticator App'en til å logge på passordfritt både med personlige og jobb- og skolekontoer fra Microsoft. Les mer på https://aka.ms/GoPasswordless.

I dag kan man også logge på passordfritt til ulike web løsninger via FIDO2 web autentiseringsstandard og bruk av sikkerhetsnøkler som f.eks. YubiKeys mfl. (Passwordless Login with YubiKey and Microsoft Azure Active Directory (yubico.com))

I dag på World Password Day kan vi bruke anledningen til å vurdere hvor passordfri er du i dag? Hvilke muligheter er tilgjengelig for deg og din organisasjon?


For å lære mer om Passordfritt, se gjerne gjennom opptaket av webinaret vi hadde nylig sammen med Stefan van der Wiele, Senior Program Manager fra Microsoft, og Caroline Sandtorv fra Yubico.
 

Selvbetjent Passord Reset

Selv om vi har økende grad av fokus på Multifaktor autentisering og Passordfri autentisering, så trenger alle brukere en sikker måte å gjøre selvbetjent passord reset på. Det å tilbakestille passordet sitt må brukerne gjøre både når de mistenker at det har kommet på avveie, eller hvis passordet ikke er sikkert nok. I tillegg kan man med risiko adaptive policier i organisasjonen kreve at brukere som havner under en høy risiko status, må tilbakestille passordet sitt.

Microsoft Azure Active Directory tilbyr selvbetjent passord reset (SSPR, Self Service Password Reset) hvor man bruker de samme autentiseringsmetodene som ved MFA for å bekrefte at man virkelig er den personen man sier man er ved endring av passord. Andre skyleverandører, både for jobb, skole og privat, tilbyr tilsvarende løsninger.

Et godt tips i dag på Word Password Day er å sjekke om du har mulighet til å tilbakestille passordet ditt ved behov.


Min Sikkerhetsinformasjon!

I anledning World Password Day ønsker vi i Skill å dele med alle organisasjoner som vil PowerApp'en vi har bilde av her.



Dette er en PowerApp som er eksportert og gjort tilgjengelig for nedlastning. Du må få hjelp av din IT organisasjon for å importere den i din organisasjon og gjøre klar tilganger og deling. 

PowerApp'en vil, avhengig av de policiene og metodene som er gjort tilgjengelig for deg, vise seg din status målt i antall stjerner for MFA, Passordfritt og Passord selvbetjening, samt tips på hvordan du kan øke sikkerheten for din bruker.
 
Les mer om PowerApp'en og hvordan den importeres og forutsetninger her.

Alle vi i Skill ønsker alle en God og Sikker Passord Dag!
Publiser en kommentar