I takt med den digitale udvikling stiger truslen for cyberkriminalitet. Det kan betyde risiko for bl.a. identitetstyveri og økonomisk bedrageri, men også større og mere seriøse angreb mod virksomheder, statslige institutioner og it-infrastrukturer. I sommeren 2017 så vi eksempelvis, hvordan det meste af MÆRSK blev lagt ned af et massivt hackerangreb.
Som privatperson eller medarbejder kan man sidde med en følelse af, at man ikke har den store indflydelse på, om hackere forsøger at skaffe sig adgang til vores egne eller virksomhedens data. Vi skal selvfølgelig gøre, hvad vi kan for ikke at komme til at trykke på links i phishing-mails, og på vores private computer kan vi installere et antivirusprogram.
Der er dog en lang række andre ting, vi som enkeltpersoner kan gøre for at mindske risikoen for, at hackere lykkes med at skaffe sig adgang til vores egne eller virksomhedens data. Én af de ting er, at vi vælger sikre password. Men hvordan gør man det?
En forkert mental model til valg af passwords
Når vi skal finde på et nyt password, sidder vi ofte i en situation, hvor vi har et relativt kort tidsrum til at finde på det. Enten fordi vi skal videre i dagens program, eller fordi dét at finde på et password ikke umiddelbart er noget, vi gider at bruge vores tid på.
Et password består typisk af en kombination af tegn. Kombinationer af tegn kender vi fra et andet sted – nemlig ord. Derfor vil vi meget naturligt tænke på ord vi kender, når vi skal finde på en kombination af tegn. Det er altså mere sandsynligt, at vi kommer til at tænke på kombinationen af tegnene sommerfugl, når vi skal finde på et password, end at vi kommer til at tænke på Ds2kp1bkvvbb!.
Når vi skal indtaste et nyt password bliver vi typisk mødt med specifikke krav som passwordet skal overholde:
- mindst 8 tegn
- mindst 1 stort bogstav
- mindst 1 lille bogstav
- mindst 1 tal
- mindst 1 specialtegn
Så må vi ændre lidt på ordet sommerfugl for at det opfylder de fem krav og her kan den nemme og hurtige løsning eksempelvis være Sommerfugl1!.
Fra tid til anden vil vi mange steder blive mødt med et krav om at ændre vores gamle password til et nyt. Her kunne man jo vælge at tage udgangspunkt i et nyt ord, men det ville betyde, at vi øger risikoen for, at vi glemmer det nye password. Derfor er der mange, der foretager systematiske ændringer i deres passwords, da systematikken gør det nemmere at huske.
Hvis passwordet før var Sommerfugl1!, kan man vælge det nye password Sommerfugl2!. Det er jo relativt nemt at huske. Og næste gang man bliver bedt om at ændre password, bruger man Sommerfugl3!, osv.
Der er med garanti rigtig mange af jer derude, der bruger netop denne tilgang til at finde på passwords. Det er desværre bare langt fra en sikker fremgangsmåde. For eksempel er Password1234 et meget let gennemskueligt og dårligt password, selvom det opfylder alle kravene og har passwordstyrken fremragende ifølge diverse tilgængelige måleværktøjer på internettet.
Hvad er et sikkert password?
Foruden de fem krav til passwords som vi typisk bliver mødt med (minimum 8 tegn, 1 stort bogstav, 1 lille bogstav, 1 tal og 1 specialtegn) har Center for Cybersikkerhed under Forsvarets Efterretningstjeneste yderligere tre anbefalinger:
- Et password bør ikke konstrueres som kombinationer af bogstaver, som er ord, der kan findes i en ordbog
- Man bør aldrig benytte en systematisk udvikling af ens passwords
- Jo flere tegn et password har, des mere sikkert er det
Et password som Ds2kp1bkvvbb! kan altså kategoriseres som et sikkert password og ændres det efterfølgende til D1pdagkvvbb! er der ikke en systematik i udviklingen.
Problemet er bare, at hverken Ds2kp1bkvvbb! eller D1pdagkvvbb! lige umiddelbart er til at huske, og det er nok de færreste, der vil vælge et password, som med garanti er glemt 5 minutter senere.
Hvordan vælger man et sikkert password der er til at huske?
Det kan måske virke som en umulig opgave, men der er heldigvis håb!
Start med en kort sætning, som du kan huske, som eksempelvis sangstrofen: Der sad to katte på et bord, kritte vitte vit bom bom!
Nedbryd de enkelte ord i sætningen til få bogstaver, tegn og tal, som fx: Ds2kp1bkvvbb!
Man skal ikke forsøge at huske de enkelte tegn i passwordet. Man skal derimod huske sangstrofen og måden, man omdanner sangstrofen til passwordet. Og dette vil være næsten lige så let som at huske ordet sommerfugl, og hvordan man omdanner det til passwordet Sommerfugl1!.
Og når man bliver bedt om at ændre password, kunne man med fordel tage udgangspunkt i næste strofe i sangen; Den ene på den anden glor, kvitte vitte vit bom bom! som bliver til D1pd2gkvvbb!.
Vupti! Sikre passwords, som er til at huske.
Hvordan får man medarbejdere i en virksomhed til at bruge denne tilgang?
I vores arbejde med både store og små organisationer møder vi tit frustration over, at der til trods for klar og tydelig intern kommunikation om et nyt tiltag, ofte ikke er de store adfærdsændringer at spore. At skabe adfærdsforandringer i en organisation kan være utroligt svært – særligt når det gælder nye tiltag, der vedrører opgaver, valg og handlinger, som ikke direkte relaterer sig til medarbejdernes primære arbejdsopgaver.
Vil man implementere den nye måde at lave passwords på i en organisation, er første skridt at indse og acceptere, at medarbejderne har en travl hverdag, og at de derfor ikke nødvendigvis får sat tid af til at lægge en plan for deres passwords. Ikke fordi de ikke vil eller ikke forstår hvorfor, men fordi de har travlt og har fokus rettet mod deres primære arbejdsopgaver. Derfor kan man ikke forvente, at det er muligt at kommunikere sig til en adfærdsforandring, når det kommer til medarbejdernes måde at lave passwords på.
En simpel procedure til implementering af ny måde at lave passwords på i virksomheden:
- Afsæt 30 minutter til et personalemøde om passwords
-
-
- Brug 5 minutter til at forklare medarbejderne om sikre passwords, og hvorfor det er vigtigt
- Brug 5 minutter på at forklare, hvordan de selv (fx med sangstrofer eller andre sætninger) kan lave passwords, der er sikre samt til at huske
- Lad medarbejderne bruge de resterende 20 minutter af mødet til at sidde hver for sig og lægge en plan for deres passwords fx for det næste år
-
- Brug 5 minutter hvert kvartal på at minde medarbejderne om, hvordan de skal vælge passwords, og hvorfor det er vigtigt
- Et år senere afsættes der igen 30 minutter til et personalemøde, og proceduren gentages
I de fleste organisationer skal medarbejderne skifte deres password til deres arbejdscomputer hver tredje måned – dvs. fire passwords på et år. Derfor kunne medarbejderne med fordel finde én enkelt sang og planlægge, at de vil benytte den første strofe af sangen i ét kvartal, bruge anden strofe af sangen det næste kvartal, osv.
Det er måske et lidt ualmindeligt personalemøde, og det kan virke overdrevet at skulle bruge 30 minutter på passwords, men hvis man vil flytte adfærd, må man af og til tage lidt utraditionelle metoder i brug. Set i lyset af, hvor store konsekvenser cyberkriminalitet kan have for virksomheder, når de først bliver ramt, er 30 minutter af medarbejdernes tid om året en meget lav pris at betale.