Passord forever

De har ridd bransjen som en mare i 30+ år. Passord og brukere er roten til våre sikkerhetsutfordringer. Ikke alle, men mange. Drømmen om å bli kvitt dem er like gammel. Det skjer aldri. Selv uten brukere har vi milliarder av (dårlige) passord å forholde oss til. The Internet of Insecure Things.

Late brukere og håpløse passord er lette å skylde på, de kan ikke slå tilbake. Og skyldige er de, men ‘hovedskyldige’ er de knapt. Når brukere lager og gjenbruker dårlige passord, er det fordi det er mulig. Muligheten skapes av tankeløse utviklere og manglende kravstilling. Gitt utfordringens omfang, er det underlig at det først de siste par årene er blitt normalt å hjelpe brukerne til gode passord – som også er ‘huskbare’.

Én av årsakene til sendrektigheten er gjemt bak en annen unnskyldning: «Vi venter på at biometri/ansiktsgjenkjenning/iris-skanning eller lignende skal overta.» Det skjer ikke de neste 10 årene, kanskje aldri. For om 5 milliarder brukere på et eller annet tidspunkt skulle ha tilgang til biometri, vil det være 20 milliarder ansiktsløse dingser i drift, hvorav minst halvparten er avhengige av passord i klassen ‘håpløse’.

Tiden er overmoden for en ‘fingeren-i-jorda’ øvelse i forhold til passord, eller autentisering generelt. Utviklingen er ikke uten lyspunkter, men oppsummeringen for de siste årene er negativ – og hovedutfordringen er IoT, eller ’Internet of Insecure Things’, som Bob Hinden fra CheckPoint Software kaller det. I en tankevekkende artikkel i The Internet Protocol Journal tidligere i år, gjennomgår Hinden noen av angrepene verden har vært utsatt for de siste årene, hva som har gjort dem mulig, tar frem en del av utfordringene i grenselandet mellom IoT og sikkerhet, og diskuterer hva vi har i vente. Avslutningsvis kommer han med følgende nøkterne virkelighetsbeskrivelse:

«The problem we have with the ‘Internet of Insecure Things’ is only going to get worse for the immediate future. Many things need to happen to improve the situation, and it isn’t going to happen quickly.»

Skjødesløs omgang med passord og autentisering er en vesentlig årsak, og Hinden konstaterer at vi mangler både standarder og forståelse for utfordringen.

Vi mangler ikke smaksprøver på hva som er i vente, for eksempel som diskutert i Hjelp! Vi er under angrep og analysen Den (u)mulige IoT-sikkeheten tidligere i år. Én av konklusjonene er at det sterkeste kortet kundesiden av markedet har på hånden, er å stille krav. Det er underutnyttet.

Tilbake til kombinasjonen brukere og passord, har vi flere baller å spille på – den viktigste å hjelpe brukerne positivt. Ikke foreslå håpløst kompliserte passord som ikke engang en elefant ville huske, men stille rimelige krav, være mer sofistikert enn ‘én stor bokstav, ett tall’ varianten, og gjerne bruke tjenester som haveibeenpwned.com for å kvalitetssikre passordene. Tjenesten har samlet over 300 millioner passord som er ‘hacket’ og publisert de siste årene (se Selvkontroll: Du er (trolig) blitt hacket), og sammenligner våre forslag med denne listen. En av våre sikkerhetskontakter i USA mener at «Every CSO at every company should force every employee to do this». ‘Tvangen’ kan enkelt gjøres ‘prosedyrell’ via en API.

Alternativet er å bruke passordhjelpere av typen 1Password og LastPass. Slike verktøy har eksistert i 15+ år og med god rett fått et blandet rykte. De fleste har ‘gått ned’ etter røffe møter med storm og grov sjø, men disse to har overlevd og får gode skussmål fra eksperter – for sikkerhet og anvendelighet.

Hovedpoenget er at passordene overlever – og krever vår oppmerksomhet. Alternativet vil ingen ha – og ingen ta ansvar for.

Legg igjen kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.