Lösenord på vift - vad kan du som organisation göra för att skydda dig?

Vi kunde igår läsa om hundratusentals lösenord på vift efter att ett sextiotal sajter hackats. Det finns två viktiga aspekter på det. Dels den jag skrev om igår: Vad du som användare kan göra för att skydda dig. Dels vad du som organisation eller utvecklare kan göra för att minska risken för att du eller dina användare drabbas.

Vad du som organisation kan göra för att minska risken för lösenordsrelaterade intrång
  1. Lagra inte lösenord i klartext
    Om du lagrar dina användares lösenord i krypterad form blir det mycket svårt för en inkräktare att använda lösenorden även om du blir utsatt för ett intrång. Räkna alltid med att du kommer att bli utsatt och arbeta utefter tesen att minimera konsekvenserna. Dit hör att göra det svårt för en inkräktare att använda de stulna lösenorden. Ärligt talat: Varför behöver du veta dina användares lösenord? Det du behöver veta är om ett inmatat lösenord är rätt lösenord och det löser du med hjälp av envägskryptering eller sk. hashning. På så sätt jämför du bara de krypterade versionerna av det inmatade och det lagrade lösenordet. Om de stämmer överens vet du att rätt lösenord har använts, utan att du lagrar lösenordet i klartext. Genom att dessutom salta hashen försvårar du ytterligare för en inkräktare att härleda lösenordet även om olyckan skulle vara framme.
     
  2. Single sign-on och federerade identiteter
    Single sign on eller SSO innebär att du inte hanterar alla användares konton i alla system där de loggar in. Användarens konto finns på ett ställe dit man ansluter flera andra system som användaren ska kunna logga in i. Risken med att ha olika konton i olika system är att användarna av bekvämlighetsskäl använder samma lösenord på många olika platser. Om ett system blir utsatt för ett lyckat intrång är risken stor att inkräktaren kan logga in i andra system med samma användarnamn och lösenord. Vän av ordning frågar sig om det är säkert att ha ett användarnamn och lösenord som styr tillgången till många system, men på detta sätt får man en kontrollpunkt som är lätt att hålla reda på både för användaren och administratören. Man måste dock alltid göra en analys av den totala säkerheten och värdera riskerna med olika alternativ.
    Federering innebär att en och samma identitet kan användas i flera olika organisationer och deras system. Exempel är företag och organisationer som samarbetar och som håller reda på sina egna användares identiteter och samtidigt litar på identiteterna i andras system.

  3. Tvåfaktorautenticering
    Även om SSO och federering gör det enklare för oss att hantera lösenord, löser dessa tekniker inte problemet med att lösenord kan stjälas. Därför bör man överge rena lösenord till förmån för två- eller flerfaktorautenticering. Det går till så att man autenticerar med något användaren vet (lösenordet) och något användaren har (säkerhetsdosa, certifikat, mobiltelefon som tar emot SMS etc.). Där finns idag många exempel från olika tillverkare som du kan integrera i din IT-miljö. Vilken av de olika teknikerna som är bäst beror på egenskaperna i din miljö, exempelvis hur många användarna är, hur ofta de behöver autenticera, varifrån de autenticerar och med vilken typ av enhet (dator, laptop, telefon, smartphone, surfplatta, internetcafé etc.) Helt klart är i att du genom att använda mer än bara lösenord för autenticering helt eliminerar risken för att stulna lösenord leder till intrång. Inkräktaren behöver stjäla något mer - något som användaren förhoppningsvis märker att det är stulet. När vet du om ditt lösenord är stulet? Saknar du något? Om du har tur dyker det upp i ett publikt Internetforum så att alla ser det innan det hunnit användas. Om du har otur får du inte reda på det förrän en obehörig har använt lösenordet.
  4. Jobba aktivt med säkerhet - OWASP Top 10
    En god lösenordshygien är viktigt både för dig som systemägare och för dig som användare. De flesta storskaliga stölder av användares kontouppgifter vi sett på senare tid har dock skett till följd av dåligt implementerade system. System som varit sårbara för attacker som exempelvis SQL Injection, Cross Site Scripting, bristande säkerhet i datareferenser etc. Genom att redan från början föra in säkehretsaspekten och göra alla medvetna om säkerheten när du kravställer och implementerar dina system minskar du risken för att drabbas av framtida intrång. Ett mycket bra ställe att börja på är OWASP:s topp 10-lista över de vanligaste sårbarheterna. Om du klarar av att hantera dessa är du och ditt system väl rustade för att möta dagens hotbild på Internet. Detta gäller oavsett om du är en enmansutvecklare av ett litet system eller en större organisation med hundratals utvecklare.
Michael Westlund
IT-säkerhetsexpert

Följ mig på Twitter: @michaelwestlund

0 kommentarer :: Lösenord på vift - vad kan du som organisation göra för att skydda dig?

Skicka en kommentar