”Lösenord är en uråldrig metod som fortsätter att dominera”

Nyligen avslöjade Tv4 Nyheterna att it-säkerheten brister hos flera svenska myndigheter. Till sitt försvar pekar myndigheterna på den mänskliga faktorn som orsak snarare än tekniken.

Så är det ofta, men än vanligare bakom säkerhetsluckor är tilliten till det skriftliga lösenordet. Denna uråldriga metod fortsätter att dominera på både svenska myndigheter och företag. I dagens samhälle är det dock inte ens i närheten av ett tillräckligt skydd.Granskningen som Tv4nyheterna har genomfört är baserad på ett mejlutskick där mottagaren uppmanas att byta lösenord genom att klicka på en länk.

Mejlet har skickats till personer i ledningsgrupper hos Sveriges 30 största och mest samhällsbärande myndigheter och statliga verk. Av dessa uppges att sex av nio unika länkar har blivit klickade på bland annat av chefer. Nu var ingen skada skedd, men beteendet tyder på att lösenord fortfarande är förhärskande som inloggningsmetod, trots att det inte skulle behöva vara så.

Under våren genomförde vi en undersökning som visade att nio av tio fortfarande använder lösenord som primär inloggningsmetod på arbetsplatsen. En inloggningsmetod som inte bara fallerar till följd av den mänskliga faktorn utan är direkt beroende av den – eftersom lösenord måste kreeras, kommas ihåg och bytas regelbundet. Ingen kedja är starkare än sin svagaste länk som bekant, och det skriftliga lösenordet är i dag fortfarande det vanligaste sättet att ta sig in i företagssystem.

Det som krävs är en stark lösning för hela it-miljön och inte bara för specifika delar eller enskilt känsliga system. För att åstadkomma det finns många lösningar tillgängliga, men en av de viktigaste och snabbaste säkerhetsinvesteringarna man kan göra som organisation i dag är att införa tvåfaktorsautentisering. Metoden innebär att det krävs minst två sätt att verifiera sig mot företagets system.

Den undersökning vi gjorde visar också på andra brister med det skrivna lösenordet, kopplade till den mänskliga faktorn. Fyra av tio använder samma lösenord privat som på arbetet. Ett faktum som givetvis också cyberkriminella är medvetna om och därför också aktivt försöker röja privata lösenord i hopp om att senare komma åt resurser hos deras arbetsgivare.

En stor andel av problemen i samband med nätfiske skulle kunna lösas om tvåfaktorautentisering i någon form var standard för företag och organisationer. Då kan riskerna med kontokapning minskas väsentligt, som i sin tur innebär en väsentligt minskad risk att företagen ska förlora känsliga data vid ett intrång och därmed riskera att underminera sitt varumärke eller tappa värdefulla immateriella tillgångar.

Niklas Anderson, vd och grundare Secmaker