8 ud af 10 sikkerhedsbrud involverer passwords. Derfor er det vigtigt, at alle jeres medarbejdere har stærke passwords og følger best practice. En god password-politik kan hjælpe med at skabe denne best practice. Vi fortæller om både fordele og ulemper ved forskellige guidelines. Derudover går vi også igennem 5 regler, som vi har i vores egen password-politik. Du kan endda hente vores gratis skabelon, som også indeholder disse regler, så du hurtigt og nemt kan lave en password-politik, der styrker jeres sikkerhed.
Har I overhovedet brug for en password-politik?
De fleste af os ved, at stærke passwords er vigtige for at holde vores forskellige konti sikre. Men medarbejdere har ofte forskellige meninger om, hvad der er et stærkt password.
En undersøgelse fra Google afslører, at 66% af alle genbruger passwords på tværs af konti, og at 3 ud af 4 finder det frustrerende at holde styr på sine passwords. Så selvom jeres medarbejdere ved, hvad et stærkt password er, så er er der stor sandsynlighed for, at de ikke efterlever det i praksis.
For små virksomheder kan databrud have store og langvarende konsekvenser, og i værste tilfælde være starten på enden for ens virksomhed. Et studie fra Verizon afslører, at 69% af alle forbrugere undgår virksomheder, der har været ramt af databrud. Det kan altså betale sig at sørge for, at alle medarbejdere lever op til nogle mindstekrav, når det gælder passwords.
Det er her, at en password-politik kommer ind i billedet.
Hvad er en password-politik?
En password-politik er et sæt regler for at lave, opbevare og bruge stærke passwords på jeres arbejdsplads. Ved at implementere og få jeres medarbejdere til at følge en password-politik er en let måde at sikre, at alle lever op til den samme standard.
Du kan lave en password-politik for sig selv, eller gøre den til en del af jeres overordnede IT-retningslinjer for at undgå mange dokumenter.
Fordele ved en password-politik
Med password-regler er der større sandsynlighed for, at jeres medarbejdere konsistent laver stærke passwords til deres konti, da de ved, hvilke forventinger der er. En god password-politik kan derfor hjælpe med at sikre jeres virksomheder og dermed øge it-sikkerheden og hjælpe med at efterleve GDPR-compliance ved at sikre persondata.
Ulemper ved en password-politik
Selvom en password-politik har mange fordele, så er der forskellige ting, der er værd at overveje, inden man kaster sig ud i øvelsen. At lave en ny politik gør det ikke nødvendigvis lettere for en medarbejder at navigere i dagligdagen. Hvis jeres politik er for indviklet, eller hvis i har for mange regelsæts, så risikerer i, at ingen følger dem, men at de blot samler støv i skuffen. Det er også en af årsagerne til, at man skal overveje at gøre den til en del af ens samlede IT-retningslinjer.
Du kan altså ikke blot lave en politik og tro, at så er alt løst. Du blive rnødt til at overveje, hvordan det vil blive taget imod blandt jeres medarbejdere.
Download vores gratis skabelon
Nok snak, lad os komme igang med, hvordan du kan lave en password-politik. Du kan tyvstarte ved at downloade vores skabelon, som bygger på, hvordan vores egne regler ser ud hos CyberPilot. Skabelonen indeholder regler for passwords, og hvordan man sikrer dem og administrerer sine passwords.
Og lad os komme igennem de punkter, som vi har lagt ind i vores politik.
De 5 principper i vores password-politik
Password-politikker skal opfordre brugere til at lave stærke og brugbare passwords. I vores password-politik har det været vigtigt, at reglerne er simple, så brugerne kan efterleve dem, samtidig med, at vi har taget Microsofts anbefalinger ind som inspiration. Her er 5 principper eller regler, som du bør overveje, om der skal være en del af jeres politik.
1. Dine password skal være minimum 12-tegn
Alle passwords, som jeres medarbejdere opretter bør være minimum 12 tegn. De må helst ikke indeholde blot et ord fra ordbogen, eller meget normale vendinger, som f.eks. JegElskerDig. Passwords skal helst heller ikke indholde navne på personer, produkter eller organisationer.
Hvorfor denne regel?
Længden på passwords spiller en stor rolle i, hvor hurtigt en hacker kan cracke ens password. Desto længere passwords, desto sikrere er dine konti.
Dette har the Hive System Password Table of 2022 forklaret grundigt, så vi vil nøjes med et kort eksempel. Lad os sige, at dit password kun er 8 tegn langt, og at du bruger både store og små bogstaver. Dit password vil kunne hackes på 13 minutter. Hvis de password istedet er 12 tegn langt med små og store bogstaver, så vil det tage 200 år at cracke.
Desværre viser en undersøgelse, at 80% af alle amerikanske passwords indeholder færre end 12 tegn. Det viser, at selvom det kan virke banalt, så er det stadig vigtigt at påpege over for ens medarbejdere, at lange passwords er stærke passwords, og de må meget gerne være endnu længere end 12 tegn.
2. Overvej at bruge password managers
Studier viser, at de fleste mennesker skriver deres passwords ned, så de lettere kan huske dem. Det behøver ikke nødvendigvis være et stort problem, da de fleste hackere kun bruger digitale metoder, men hvis vi vil kræve, at vores medarbejdere skal bruge lange og unikke passwords til alle deres konti, så kan det bliver til mange papirlapper med passwords på. Så det er forståeligt, hvis medarbejdere genbruger passwords eller laver svage passwords, der er lettere at huske.
Derfor er det værd at overveje, hvordan I kan opbevare passwords sikkert. Her kan password managers være en mulighed, hvor medarbejdere blot skal huske et meget langt password, og så gør password manageren resten af arbejdet.
En anden fordel ved password managers er, at du eller den it-sikkerhedsansvarlige kan få data på, om jeres medarbejdere rent faktisk laver stærke passwords, og om de genbruger dem.
Det er vigtigt, at password-managers bliver administreret af jer som organisation og ikke hver enkelt medarbejder.
Der er selvfølgelig en risiko forbundet med password-managers, da i uddelegere ansvaret for at beskytte jeres passwords til en anden virksomhed, og det er derfor noget, I skal overveje. F.eks. blev LastPass hacked og nogle af deres kunder fik deres "vaults" stjålet i starten af 2023.
Ofte kan risikoen ved password managers dog sænkes ved at brug to-faktor autentificering, hvilket leder os videre til punkt 3.
3. Brug altid to-faktor autentificering, hvis det er muligt
Hvis det er muligt at aktivere to-faktor autentificering på en konto, så skal det gøres! Det er muligvis den vigtigste regel af dem alle.
Det tilføjer et ekstra lag af sikkerhed, da du skal godkende et login med en ekstra kode eller godkendelse, så selv hvis en hacker skulle få fat i et password, så kan de IKKE tilgå ens konto.
To-faktor blokerer ifølge Microsoft hele 99,9% af alle angreb. Derfor bør det også være et krav til alle medarbejdere at installere en to-faktor autentificerings-app, som de kan bruge på deres forskellige konti.
Microsoft har f.eks. sådan en app.
4. Hold din password-politik simpel
Vi har allerede nævnt det, men det er vigtigt, at du ikke tilføjer for mange regler til politikken.
Det skal være ukompliceret for alle at lave stærke passwords.
For at holde det simpelt, skal du holde den kort. Brug et klart og direkte sprog, der fokuserer på de vigtigste punkter. Undgå at give for detaljerede detaljer og sørg istedet for, at der kun står det, som dine medarbejdere har brug for at vide.
Skriv også, hvem de kan stille spørgsmål til, hvis der skulle være noget, de vil vide mere om.
5. Undgå for mange password-regler, da det øger kompleksitet
Sidst, men ikke mindst, undgå at skabe for komplekse regler. Ofte vil man have en tilbøjelighed til at lave en regel om, at man både skal have små og store tegn, tal og specialtegn. Derudover skal man måske også skifte sit password hver 6. måned.
Disse type regler kan helt sikkert godt forsvares ud for et teknisk perspektiv, men vi må understregne, at man skal passe på med at lave for mange regler, da alt tyder på, at det kan ende med at sænke sikkerheden.
For at holde det ultra simpelt, så indeholder vores politik ikke denne type regler. Istedet fokuserer vi kun på to-faktor og længde, da disse to ting er de allervigtigste, når man skal forsvare sine konti med stærke passwords.
Skab opmærksomhed på passwords
Udover password-politikken, så er det vigtigt at skabe opmærksomhed omkring passwords, da det hæver chancen for, at jeres medarbejdere tænker over det i deres dagligdag.
I kan f.eks., pege på nogle af de mest brugte passwords, da det er en sjov måde at gøre det på. Folk kan gætte på, hvad de tror er oftest brugt, og se om der er passwords de selv har. Derudover kan man hænge plakater op.
Din password-politik skal være sikker og brugbar
Hvis du tænker over, hvorfor I har brug for en password-politik, så vil det hjælpe dig med at finde frem til, hvorfor dine kollegaer skal følge den. Du bør være tydelig omkring, hvem den er til, og hvornår den skal bruges. Er der situationer, hvor politikken ikke er gældende?
En password-politik er i sig selv et sikkerhedstiltag, men implementeret effektivt kan det også bruges som et værktøj til at skabe en kultur, hvor man snakker om passwords og andre IT-sikkerhedsemner.