MÅNADENS SÄKERHETSTIPS - Så skyddar du ditt lösenord!
När jag senast medverkade i Nyhetsbrevet så pratade jag om lösenord och vikten utav ett starkt sådant.
Idag räcker det inte med ett starkt lösenord då förövarna ständigt försöker lura oss till att ge ut det, och de har blivit otroligt skickliga, men vi använder också samma lösenord på olika plattformar. Detta innebär att blir en sida utsatt för ett intrång så är ditt lösenord läckt för alla sidor där du använt samma lösenord.
Vi behöver helt enkelt ställa in oss på att vårt lösenord kommer att hamna i fel händer, och när det sker måste vi ha ytterligare mekanismer som skyddar oss.
MFA eller Multi-factor Authentication är första steget. Jag kan skämtsamt upplevas som tjatig utav min omgivning men fakta är att MFA och ett starkt regelverk runt det blockerar över 99,9% utav intrångsförsöken som sker när ett lösenord hamnat i fel händer.
Min önskan hade varit att jag slapp skriva en text om MFA år 2024 men jag misstänker att IT-säkerhet inte är lika spännande i vissa öron som i mina.
MFA består utav tre delar
Något du känner till – vanligtvis ett lösenord eller en PIN-kod
Något du har – till exempel en betrodd enhet som inte är lätt att duplicera, till exempel en mobiltelefon
Något du är – biometri som ett fingeravtryck eller ansiktsigenkänning
Är man då säker när man implementerat MFA i sin organisation? Tyvärr är svaret ett starkt nej, men det är ett grundläggande skydd som skulle varit på plats hos ALLA organisationer sedan flera år tillbaka.
Tyvärr är de som ligger bakom intrång alltid steget före och har tekniker för att ta sig förbi MFA.
Men för att ta sig förbi MFA så måste de alltså grundlura dig eller mig.
Vanligt förekommande exempel är:
- mejl från en kollega som är ”brådskande” och måste hanteras ”skyndsamt”
- delad länk till ett dokument från en intern eller extern part.
- ett SMS/Samtal med inloggningsdetaljer
Så hur jobbar vi aktivt med detta?
Min rekommendation är enkel: Utbildning.
Att utbilda våra användare att bli duktiga på att analysera mejl, upptäcka fel och vara vaksamma.
Får man ett mejl som är brådskande, kontakta avsändaren via annan kommunikationsväg (telefonsamtal ex).
Får man en MFA-prompt i telefonen, neka om du inte förväntar dig en.
Får man ett samtal/SMS om inloggning, lägg på luren.
Får man en länk i ett mejl som man uppmanas öppna, kontakta avsändaren via annan kommunikationsväg (telefonsamtal ex).
Slutsats:
Med starka lösenord, MFA aktiverat, kontinuerlig utbildning utav våra användare och ett kritiskt tänkande så kan vi komma otroligt långt.
Om vi börjar hantera våra inloggningsuppgifter likt vi hanterar vår PIN-kod till bankkort eller koden till huslarmet så är vi på rätt väg.
Är du det minsta osäker/misstänksam, kontakta oss på DH Solutions så hjälper vi dig med analysen.
Johan Lindholm, Cloud Architect