Jeg ser ofte implementerede kontroller omkring password kompleksitet. Formålet med disse kontroller er at sikre, at brugere anvender et stærkt password. Altså et password som en angriber ikke vil kunne udnytte og benytte i et angreb i mod virksomheden.
Det er min påstand, at klassiske adgangskodepolitikker med et krav om 8-10 karakterer, store og små bogstaver, tal eller specieltegn, ikke fungerer til at sikre, at brugere benytter et stærkt password.
Brugere vil altid forsøge at gøre det let for sig selv, og dermed vil de - ubevidst og uden den rette læring - også gøre det nemmere for en angriber at udnytte deres passwords.
Passwords, som jeg ofte oplever anvendt, er Martin25, Qwerty12345, Password123.
Som regel er der altid et stort bogstav til at starte med og tal til sidst.
Hvis der skal benyttes et specieltegn, er det ofte et udråbstegn som benyttes.
Kvartals-passwords
Foruden de ovenstående klassiske krav ser vi også, at brugere skal skifte password hvert kvartal.
Ikke fordi, der er noget forkert i dette, men det tvinger brugere til at tænke i noget med fire - det kunne være kvartaler.
I de tilfælde, hvor der skal indgå numre og store bogstaver, ser jeg ofte, at brugere benytter passwords som Sommer2016, Efterår2016, Vinter2017 og så videre.
Disse passwords overholder samtlige kompleksitetskrav, som de fleste danske virksomheder kræver. Mit gæt er, at i mere end 95 procent af større danske virksomheder vil det være muligt at benytte disse passwords.
Det er rigtigt, at mange virksomheder også tilføjer et skriv i deres sikkerhedspolitik om, at man ikke må benytte virksomhedens navn, eller at man ikke må vælge et ord og tilføje fortløbende numre.
Tillid er godt, men kontrol er bedre
Det er min erfaring, at det er meget let at bryde ind ved at gætte adgangskoder.
Dette kan eksempelvis gøres ved at forsøge at logge på med samtlige brugerkonti og et udvalgt password - dette kunne være Vinter2017.
Ved kun at prøve et enkelt password for samtlige brugerkonti undgår en angriber at låse konti ude, og derved undgås det, at der ringer nogen alarmer.
Jeg vil ikke gå i flere detaljer her om, hvordan man som angriber kan benytte andre angreb til at gætte sig frem til de passwords, som brugere benytter.
Hvorfor er det, at vi ikke implementerer opdagende kontroller i forhold til at sikre brugen af stærke passwords?
Det gør vi på så mange andre områder. Eksempelvis overvåger vi periodisk administratorkonti, vi foretager en periodisk gennemgang af væsentlige udbetalinger, vi foretager periodiske stikprøver af kreditoroprettelser og så videre.
Det sker, selv om der er fornuftige forebyggende kontroller på plads, som er langt bedre end de forebyggende kontroller, vi har på plads til at sikre anvendelsen af stærke passwords.
Men i forhold til at sikre anvendelse af stærke passwords, implementerer vi kun forebyggende kontroller, som oftest ikke virker efter hensigten, og derved udsætter vi os for unødvendige risici.
Er det virkelig ikke væsentligt at kontrollere, om medarbejderne kan finde ud af at vælge et stærkt password? Eller om de omgår eventuelle retningslinjer i vores sikkerhedspolitik?
Derfor skal man prøve at hacke medarbejdernes passwords
Hvordan kan du som virksomhed implementere opdagende kontroller for at sikre, at medarbejderne vælger stærke passwords?
Det siger sig selv, at vi ikke kan spørge medarbejderne om, hvilke passwords de benytter.
Det er også fornuftigt at uddanne medarbejderne og afholde diverse awarenes-kampagner.
Jeg er dog størst tilhænger af, at man tager fat dér, hvor det giver mest værdi og mening.
Jeg vil anbefale, at man implementerer en opdagende kontrol, hvor man som virksomhed forsøger at hacke sine medarbejderes passwords.
Man bør eventuelt tage en snak med HR og juridisk afdeling, inden dette udføres, for at høre om eventuelle "problemstillinger" i forhold til dette.
En klar anbefaling er, at man som virksomhed, bør benytte en ekstern part til at yde assistance. På denne måde sikres det, at egne administratorer/medarbejdere ikke sidder med viden om andre brugeres passwords.
Dette kan skabe en masse støj og ballade, især hvis der begynder at gå sport i at cracke passwords.
De syv trin til bedre passwords
Idéen ved kontrollen er, at man forsøger at sætte sig i en angribers sted og udfører et angreb mod medarbejdernes passwords for at efterprøve sikkerheden på disse.
Dette kan eventuelt være rettet mod Active Directory, en bestemt applikation eller en database. Jeg vil ikke gå i detaljer med, hvordan disse angreb kan udføres.
En kontrol, som jeg godt kunne tænke mig at se implementeret hos danske virksomheder, er som følgende. Denne er baseret på Windows Active Directory:
1. Udtræk brugerdatabasen fra AD, som indeholder brugeres password-hashes.
2. Overfør brugerdatabasen til en maskine, hvis eneste formål er at cracke password-hashes, og kun benyttes til denne kontrol.
3. Forsøg at cracke så mange passwords som muligt inden for en given tidsperiode. 48 timer kunne være en god start. Kan differentieres i forhold til en risikovurdering.
4. Udfør en analyse af de crackede passwords for at vurdere, hvad det er, brugerne har gjort forkert, eller hvordan deres passwordbrug kan forbedres.
5. Samtlige brugere med crackede passwords skal have deres password ændret.
6. Samtlige brugere, hvis password blev cracket, skal deltage i træning i, hvordan et stærkt password vælges. Træningen baseres på den udførte analyse af crackede passwords.
7. Samtlige brugere, som har deltaget i træningen, skal have deres password ændret, så de kan vælge et nyt baseret på den udførte træning.
En kontrol som denne bør udføres periodisk, og i starten vil denne kontrol være mere omfattende end sidenhen.
Man kan med fordel basere kontrollen på en risikovurdering af sine it-systemer eller brugerroller. Eksempelvis kan kontrollen udføres for Active Directory hver tredje måned og for en mindre væsentlig applikation på årsbasis.
En anden tilgang kunne være administrative brugerkonti på månedsbasis og for almindelige brugerkonti hver 3. eller 6. måned.
Husk formålet - der må ikke gå sport i det
Det er dog vigtigt at huske formålet med kontrollen, så kontrollen i sidste ende ikke bliver til en sport om at cracke flest muligt passwords, men at sikre anvendelsen af stærke passwords.
Det er også muligt at implementere blacklist-kontroller til passwords, så man for eksempelvis ikke kan benyttes specifikke ord eller sammensætninger af ord og tal.
Husk at tekniske kontroller ikke kan stå alene. Vi er også nødt til at uddanne brugerne til at kunne passe på sig selv.
Derfor har jeg inkluderet de syv skridt ovenfor, så vi løbende tvinges til at træne brugerne.
Nu er det på tide, at vores it-kontroller løftes og lever op til de samme minimumskrav, som vi har implementeret i de øvrige områder af virksomheden.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.