Varje år den första torsdagen i maj är det World Password Day och det är ofta lite deprimerande för säkerhetsexperter. Trots åratal av varningar, dataintrång och kampanjer för att öka medvetenheten om cybersäkerhet förlitar sig många fortfarande på svaga, förutsägbara och återanvända lösenord.

Budskapet går inte fram

De vanligaste lösenorden har knappt ändrats på mer än ett decennium. Variationer av "123456", "password", "qwerty" och andra lättgissade kombinationer fortsätter att ligga i topp på globala listor år efter år. Tekniken har utvecklats snabbt, men det har ofta inte lösenordsvanorna.

För cyberbrottslingar skapar detta en enkel väg in i personliga och företagskonton. Angriparna vet att många användare fortfarande väljer bekvämlighet framför säkerhet, och de utnyttjar aktivt detta beteende genom att fylla på inloggningsuppgifter, brute-force-attacker och nätfiskekampanjer.

Faran med svaga och återanvända lösenord

Ett svagt lösenord är illa nog. Ett lösenord som återanvänds är ofta ännu värre.

När en webbplats drabbas av ett intrång testas stulna användarnamn och lösenord snabbt på olika plattformar för bankärenden, e-post, molnlagring och arbetsplatser. Om samma lösenord har återanvänts kan ett enda intrång låsa upp flera konton.

För organisationer kan återanvända lösenord leda till komprometterade Microsoft 365-konton, exponerad VPN-åtkomst, komprometterad företagsmejl och obehörig åtkomst till känsliga data. I många incidenter behöver angriparna inte sofistikerad skadlig kod. De loggar helt enkelt in med giltiga inloggningsuppgifter.

På Integrity360 ser vi regelbundet att identitetsbaserade attacker fortfarande är ett av de snabbaste och mest effektiva sätten för hotaktörer att få åtkomst. I takt med att företagen förbättrar sitt yttre försvar riktar sig brottslingarna i allt högre grad mot användare, inloggningsuppgifter och svagheter i autentiseringen.

Varför lösenord fortfarande är ett problem

Lösenord lägger för mycket ansvar på användarna. Människor förväntas skapa dussintals unika, komplexa kombinationer, komma ihåg dem, uppdatera dem och undvika att skriva ner dem.

Det leder ofta till ett invant beteende:

• Välja korta eller minnesvärda lösenord
• Återanvända samma lösenord för flera olika tjänster
• Att endast göra mindre ändringar när du uppmanas att återställa
• Förvara lösenord på ett osäkert sätt i anteckningar eller kalkylblad

Även när organisationer tillämpar lösenordspolicyer ignoreras eller kringgås de ofta.

NCSC:s övergång till passkeys

Nyligen har Storbritanniens National Cyber Security Centre (NCSC) uppmanat människor att överge lösenord till förmån för passerkort där sådana finns tillgängliga, och kallar det en stor förändring av långvarig säkerhetspraxis.

Passkeys är en nyare form av autentisering som gör att man inte behöver komma ihåg lösenord alls. Istället för att förlita sig på en delad hemlighet använder de kryptografi med offentlig nyckel. En nyckel förvaras säkert på användarens enhet, medan den matchande publika nyckeln lagras av den tjänst som används.

I praktiken loggar användarna ofta in med något som redan finns inbyggt i deras enhet, till exempel Face ID, fingeravtrycksigenkänning eller en PIN-kod.

Eftersom det inte finns något lösenord att skriva in kan passerkort avsevärt minska risken för nätfiske, stöld av lösenord och återanvändning av inloggningsuppgifter. Varje passerkod är unik för den webbplats eller app som den skapats för, vilket gör det mycket svårare för angripare att utnyttja flera olika tjänster.

NCSC har beskrivit passkeys som ett mer användarvänligt alternativ som också kan förbättra den övergripande motståndskraften.

Passkeys är inte hela lösningen

Passkeys är ett alternativ, men det är inte alla plattformar som stöder dem ännu. Användare kan ställas inför återställningsutmaningar om de förlorar åtkomst till enheter. Organisationer behöver också tydliga processer för registrering, enhetshantering och kontoåterställning.

Detta innebär att företag bör se passerkort som en del av en bredare strategi för identitetssäkerhet snarare än en fristående lösning.

Integrity360:s insikt: Identitet är den nya frontlinjen

På Integrity360 råder vi organisationer att behandla autentisering som en kritisk säkerhetskontroll. Oavsett om man använder lösenord, passskeys eller en blandning av båda, bör fokus ligga på att minska identitetsrisken.

Det inkluderar:

• Aktivera multifaktorautentisering för alla kritiska tjänster
• Använda lösenordshanterare för användare där lösenord fortfarande är nödvändiga
• Övervakning av komprometterade inloggningsuppgifter på den mörka webben
• Upptäcka misstänkta inloggningsbeteenden genom MDR- och SOC-tjänster
• Implementering av passkeys där det stöds
• Utbilda användare i att känna igen phishing-försök

Framtiden kommer sannolikt att vara lösenordsfri, men de flesta organisationer befinner sig fortfarande i en övergångsfas. Under den perioden kommer angriparna att fortsätta att rikta in sig på svaga inloggningsuppgifter var de än hittar dem. Om dina lösenord fortfarande är enkla, återanvända eller oförändrade sedan flera år tillbaka är det dags att agera. Starka unika lösenord, MFA och passkeys kan dramatiskt minska risken.

Lösenord kanske inte försvinner över en natt, men deras dominans är på väg att upphöra. De organisationer och individer som moderniserar tidigt kommer att ha mycket bättre förutsättningar att hålla sig säkra.

Behöver du hjälp med din cybersäkerhet? Kontakta våra experter idag.