Varje år runt den här tiden måste jag fylla i mitt företags cyberförsäkringsansökan och varje år får jag frågan om vi uppmuntrar starka lösenord och byter dem ofta. Den här frågan stör mig verkligen, för vi borde verkligen inte byta lösenord ofta. Snarare måste vi välja autentiseringsprocesser som på lämpligt sätt matchar riskerna med webbplatsen; att använda ett lösenord bör vara det sista du vill lita på.
Tänk först på den information och data som en webbplats lagrar om dig. De sajter som vi vill erbjuda mest skydd har ofta det svagaste. När du kan, lägg alltid till tvåfaktorsautentisering för att komma åt en webbplats. (All multifaktorautentisering skapas inte lika, men någon form av multifaktor är bättre än ingen. Om det uppmuntrar angripare att gå någon annanstans har du gjort ditt jobb.
Banker och finansiella organisationer gör ofta långsamma implementeringar av autentiseringsprogram, så du får nöja dig med ett användarnamn, lösenord och sedan ett tvåfaktorsautentiseringsverktyg, vanligtvis ett textmeddelande som skickas till din smartphone. Även om smartphone-SIM-chips kan klonas (så att angripare kan förfalska din telefon och avlyssna textmeddelanden), har de allra flesta av oss det fortfarande bättre med den här processen. Att enbart förlita sig på ett användarnamn och lösenord för att komma åt banken riskerar ditt konto.
För att vara rättvis är inte alla lösenord skapade lika. Om du har återanvänt ett lösenord på en annan webbplats eller för ett annat bankkonto löper du större risk. Angripare stjäl eller köper ofta ett arkiv med knäckta lösenord eller lösenordshashar och försöker sedan återanvända dem för att få tillgång till andra webbplatser. Om du redan har fått ett meddelande om lösenordsåterställning, och du inte har försökt logga in på kontot, försöker en angripare sannolikt en lösenordsattack på webbplatsen. Så återanvänd inte samma lösenord någonstans.
I flera år har onlineanvändare blivit ombedda att ändra sina användarnamn för att se om en webbplats sålde deras information någon annanstans. Nu ser jag samma typ av rekommendation för att välja lösenord eller lösenfraser. Det finns en väldigt rolig video på nätet som beskriver processen som människor använder för att välja lösenord. Du började med att välja ett lösenord, sedan använder du det överallt. När sedan en sida säger att en inte är tillräckligt bra, lägger den till ytterligare en bokstav. Så du behöver ett specialtecken (som utropstecken). Sanningen är att våra hjärnor bara kan lagra så mycket information, så vi tenderar att återanvända samma lösenord, eller en variant av det, på flera webbplatser.
Microsoft rekommenderar ofta användning av PIN-koder istället för lösenord. Den hävdar att en PIN-kod är enhetsspecifik, så om en angripare stjäl din PIN-kod måste de också stjäla enheten. Det finns ett problem med detta argument. Jag har flera enheter som kräver en PIN-kod, och jag måste erkänna att jag använder samma PIN-kod på alla eftersom jag inte kommer ihåg PIN-koder bättre än lösenord. Enligt Microsoft är fördelen med en PIN-kod att "när PIN-koden skapas upprättar den en förtroenderelation med identitetsleverantören och skapar ett asymmetriskt nyckelpar som används för autentisering." Datorns Trusted Platform Module (TPM)-chip lagrar en PIN-kod. (Om du undrar varför du hade en Windows 10-maskin som bad dig att använda en PIN-kod istället för ett lösenord, beror det på att operativsystemet registrerade att den hade hårdvaran för att stödja processen.) Om du inte behöver eller vill ha en PIN-kod kan du radera den. Tryck på Windows-tangenten och I-tangenten för att öppna Inställningar. Välj konton och klicka sedan på fortsätt. Klicka på Anslutningsalternativ i den vänstra rutan. I den högra rutan väljer du "Ta bort" under PIN-sektionen.
Ansträngningarna för att förbättra säkerheten på nätet ökar. Intuit började nyligen kräva ett onlinelösenord även för att logga in på skrivbordsversionen av QuickBooks, dess redovisnings- och bokföringsprogram. De som har en QuickBooks-fil som innehåller känslig information som löne- eller kreditkort måste också först logga in med ett onlinekonto. I flera år behövde datoranvändare bara ett användarnamn. Ändå tyckte många användare att förändringen verkade besvärlig, särskilt i kombination med mandatet att byta lösenord var 90:e dag. (Återigen, det är denna idé att ändra ditt lösenord är bättre än att använda bättre lösenord eller använda Google Authenticator-appen för att komma åt ditt Intuit-konto.
Även om du är ett litet företag kan du lägga till tvåfaktorsautentisering till din egen datoråtkomst för att öka säkerheten. Duo.com, till exempel, erbjuder DUO gratis för implementering med färre än 10 användare. Den ger en tvåfaktorsvarning till en smartphone eller till och med Apple Watch. Jag använder den på mitt kontor för fjärråtkomst för att se till att när någon loggar in utanför kontoret måste de svara på ett meddelande på sin telefon för att få åtkomst. Dess enkla användning gör att jag kan garantera säkerheten för fjärråtkomst och undvika överdrivna lösenordsändringar.
Om du är en cyberförsäkringsleverantör eller byrå, hör av dig! Sluta be mig att byta lösenord. Fråga mig istället vad min favorit multifaktorapp är. Detta är det snabbaste sättet att förbättra säkerheten för de flesta användare.
Copyright © 2022 IDG Communications, Inc.