Sluta hitta på smarta lösenord — börja använda en lösenordshanterare
Att försöka hitta på smarta lösenord fungerar sällan i praktiken. En lösenordshanterare, kombinerad med MFA och rätt behörigheter, är ofta en bättre start.
Jag är ingen fan av nyårslöften.
Men här är ett jag ändå tycker att man kan ska ta tag i.
Sluta försöka hitta på smarta lösenord — och börja använda en lösenordshanterare istället.
Och nej, jag menar inte webbläsarnas inbyggda funktion utan ett dedikerat program som skyddar dina lösenord, till exempel Bitwarden, KeePass eller liknande lösningar.
För många lösenord — och för stor risk
Vi har alla fler konton än vi egentligen kan hålla reda på. När antalet lösenord blir för många finns en stor risk att de skrivs ner, återanvänds eller helt enkelt glöms bort.
Känner någon igen sig?
Jag kan själv erkänna att jag varit skyldig till båda.
Efter att ha sett lösenord till kritiska system ligga öppet på olika ställen hos organisationer känns det ganska tydligt att vi behöver bli bättre.
Det kan faktiskt vara så illa att det innebär att andra bra säkerhetsåtgärder ni infört bli verkningslösa.
Börja med att kontrollera om ni redan har en lösning.
Det är förvånansvärt vanligt att organisationer faktiskt har en lösenordshanterare — utan att någon riktigt använder den.
Det kan kännas som att vad just jag gör inte spelar så stor roll.
Men ibland räcker det att ett enda konto hanteras slarvigt för att en angripare ska hitta vägen vidare i miljön.
Lösenordshanterare är en bra start
Det här ska inte bli en artikel om hur man skapar “bra” lösenord man kan komma ihåg.
Istället vill jag slå ett slag för lösenordshanterare.
En lösenordshanterare gör det möjligt att använda unika och starka lösenord för varje tjänst utan att behöva komma ihåg dem själv. Det minskar risken för återanvända lösenord och gör det betydligt svårare för angripare att ta sig vidare mellan olika system.
Men en lösenordshanterare är egentligen bara en del av helheten.
Kombinera med MFA
Ett viktigt komplement är MFA (Multi-Factor Authentication).
Det innebär att ett lösenord inte räcker för att logga in.
Du behöver också något mer — till exempel en autentiseringsapp eller en säkerhetsnyckel.
Om ett lösenord skulle läcka eller fiskas upp via phishing gör MFA att det ofta ändå inte går att logga in.
Det är en av de mest effektiva säkerhetsåtgärder en organisation kan införa.
Principen om minsta behörighet
En annan viktig del är principen om minsta behörighet (least privilege).
Det innebär att användare och system bara ska ha tillgång till det de faktiskt behöver för att utföra sitt arbete — inte mer.
På så sätt begränsas konsekvenserna om ett konto skulle komprometteras.
Rollbaserad access
Det är också viktigt att separera roller och behörigheter.
Det ska till exempel inte räcka att ta över ett vanligt användarkonto för att få administratörsrättigheter i hela miljön. Genom att arbeta med rollbaserad access minskar man risken att ett intrång snabbt eskalerar.
NIS2 kan faktiskt hjälpa
Flera av dessa åtgärder lyfts också i arbetet med NIS2 och cybersäkerhetslagen.
Det gör att arbetet med regelverket inte bara behöver handla om att bocka av krav — utan faktiskt kan bli ett tillfälle att stärka säkerheten på riktigt.
Börja enkelt
Det är lätt att tänka att säkerhetsarbete måste börja med stora projekt.
Men ibland räcker det att börja med något enkelt.
Som att sluta skriva ner lösenord — och börja använda en lösenordshanterare.
Det är ett litet steg som ofta gör stor skillnad.
Vill du bolla detta i er kontext?
Hör av dig så tar vi ett kort, förutsättningslöst samtal.