IT-sikkerhedstip #3
Giv medarbejderne det rette våben: Indfør god password-skik
Klare retningslinjer for dine medarbejdere
Den første sikkerhedsmur i organisationers IT-infrastruktur er det kodeord, som brugerne anvender til at logge på med. Det er ”nøglen” til de data og applikationer, som er kerneværdien i de fleste virksomheder og institutioner. Derfor skal organisationen have en politik for, hvor adgangskoder skal bruges, og hvordan de skal være udformet. Men hvilke krav skal en sådan politik indeholde? Det ser vi på her.
Koden skal selvfølgelig være svær at bryde. Uanset om de enkelte medarbejdere selv vælger en kode, eller den anvises af IT-afdelingen, bør den bestå af mindst 14 karakterer – en blanding af tal, tegn og små og store bogstaver. Kodeordet skal også være svært at gætte, så brug ikke navne og fødselsdage.
Brug ikke variationer over den samme kode til alle formål. Brug heller ikke de samme koder til firma-e-mail, professionelle og private tjenester. Vælg eventuelt at benytte en password-manager til at huske de mange vidt forskellige kodeord. Det kan være for eksempel Microsoft Authenticator, der også kan integreres med en internetbrowser.
Som bruger skal man også forholde sig kritisk til, hvor kodeordet indtastes. Er det en enhed, du kan stole på? Hvis du er på rejse og er nødt til at benytte en computer på et hotel eller et bibliotek, skal du være ekstra på vagt.
Administratorens opgaver
Den IT-ansvarlige bør formulere en politik for organisationens brug af kodeord. Den dækker ikke kun brugerne, men også IT-administratoren.
Her definerer man krav som kodeordets længde (minimum 14 karakterer), hvilke tegn der skal benyttes og kodeordets kompleksitet. Man bør også forhindre anvendelse af almindelige og adgangskoder som ”abcdefgh”, ”qwerty”, ”sommer”, ”vinter” osv. Til det formål fås der programmer/services, som tjekker valgte koder op mod lækkede passwords, og som kan forhindre brugen af den slags koder.
Det anbefales ikke at bruge såkaldt password-udløb, hvor brugerne bliver bedt om at skifte adgangskode med faste mellemrum, for eksempel hver måned. Erfaringen viser, at det ikke har en begrænsende effekt at skifte kodeord. Mister man et kodeord, vil hackeren alligevel udnytte kodeordet med det samme, og man risikerer desuden, at brugeren systematiserer kodeordsskiftet, så der kun er en beskeden ændring. Dermed mister kodeordet sin styrke.
Men vælger man at køre uden password-udløb anbefales det til gengæld at kombinere med multifaktorgodkendelse. Her øges sikkerheden ved, at man får to sikkerhedselementer i spil: både adgangskoden og en bekræftelse fra brugerens mobiltelefon.
Vil du vide mere eller har øvrige spørgsmål til din virksomheds sikkerhed. Vi er der altid.
Tlf.+45 3525 5070
info@progressive.dk