Elendige adgangskoder og en sjusket håndtering af dem, vi har.
Det er desværre realiteten, når man ser på password-situationen hos rigtig mange it-brugere.
En stor del af os anvender nemlig alt for gennemskuelige og simple adgangskoder, og måske vi ligefrem klistrer dem op på en lap papir under pc-skærmen for at kunne huske dem i en travl hverdag.
Dermed udsætter man mere eller mindre bevidst både sig selv - og måske også sin arbejdsplads - for en sikkerhedsrisiko.
Men her stopper risiciene ikke for virksomhederne, for selv om man tvinger medabejderne til at anvende stærke adgangskoder - og udskifte dem ofte - er der faktisk også de medarbejdere, der er villige til at sælge adgangskoderne for den rigtige pris.
Det er ikke nogen ny problemstilling, men en ny undersøgelse sætter ligefrem konkrete tal på, hvad 'den rette pris' så rent faktisk er.
Det koster et password
Det er sikkerhedsleverandøren SailPoint, der har spurgt 1.000 medarbejdere fra store virksomheder (over 3.000 medarbejdere) rundt rundt omkring i verden, hvad den fortrolige adgangskode skal koste.
Konklusionen er, at hver syvende medarbejder er villig til at sælge sin adgangskode til en ekstern part for 150 dollars.
Det skriver vores kolleger på det amerikanske CSO Online, der også kan fortælle, at selvom man måske tænker, at 150 dollar ikke er et ret højt beløb, så har har blandt andet en engelsk undersøgelse vist, at det faktisk er op til 30 procent, der er villige til at sælge en adgangskode for omkring sølle 10 kroner.
CSO Online nævner også et tredje eksempel, hvor det var en chokoladebar, der var prisen for en adgangskode, men en sikkerhedsekspert siger samtidig til mediet, at denne slags undersøgelser ikke nødvendigvis er repræsentative.
Samtidig skal man huske på, at undersøgelsen fra SailPoint er global og derfor ikke nødvendigvis siger noget om, hvad en medarbejder med en dansk lønindkomst eventuelt vil være villig til at sælge sin virksomheds-adgangskode for.
Det sker også i Danmark
Der er dog næppe nogen tvivl om, at det rent faktisk er en reel risiko for virksomheder, at medarbejdere kan finde på at udlevere adgangskoder eller fortrolige informationer, hvis der er nogen, der tilbyder dem penge for det.
Her i Danmark har vi blandt andet haft den meget omtalte sag med tys-tys-kilden: En IBM-medarbejder, der solgte fortrolige kreditkort-informationer fra Nets til Se og Hør.
Mens den sag naturligvis var ekstremt alvorlig, så findes der ifølge CSO Online-artiklen også eksempler på, at medarbejdere faktisk ikke forstår, hvor kritisk det er, at de udleverer deres adgangskode til andre.
De er simpelthen ikke klar over, hvilken form for misbrug og kriminalitet, det kan føre til, lyder det i artiklen.
Ekstra sikkerhedsforanstaltninger
En del virksomheder har i dag implementeret to-faktor-login for at højne login-sikkerheden.
Det betyder, at man ikke kan logge sig ind i systemerne uden både at have den faste adgangskode og den vilkårlige kode, der eksempelvis sendes til medarbejderens mobiltelefon.
En del monitorerer også login-forsøg og data-adgang, så man eksempelvis kan opdage mystisk trafik fra IP-adresser, der ikke umiddelbart har nogen relation til virksomheden.
Det er dog i sidste ende nok svært at helt at hindre data-misbrug, hvis der rent faktisk er medarbejdere i virksomheden, der er villige til at udlevere de fortrolige informationer eler adgangskoder for 150 dollars eller ligefrem en enkelt chokoladebar.
Læs også:
Derfor kan din ‘stærke' adgangskode være totalt usikker - også selvom du får noget andet at vide
Trojansk hest jagter dine adgangskoder: Sådan kan du forsvare dig