Korte kodeord og for mange gentagelser er guf for de cyberkriminelle.
Danskernes dårlige vaner og hukommelse er den største gave, når de digitale kriminelle går til angreb på virksomheder og private.
Hvis du i tide og utide bliver i tvivl om, hvilket kodeord du skal indtaste, så lad mig være den første til at rose dig. Selvfølgelig er det godt, hvis du let og uden problemer kan logge ind på dine sociale medier, din netbank og yndlings onlinebutik, uden at tvinge de små grå til at slå flikflak hen over hjernebarken.
Havde du i stedet fortalt mig, at du har utroligt let ved at huske dine adgangskoder, fordi du bruger den samme igen og igen, ja, så ville minen på mit ansigt se helt anderledes ud. Og hvis du tilmed bruger HejMedDig1234!, Kodeord1234! eller 1234Nykode!, så må du for alt i verden ikke stoppe med at læse nu.
Forestil dig, at koden til dit kreditkort eller din telefon var 1234 eller 0000. Ville du så ikke være bekymret, hvis en snu slyngel i supermarkedskøen havde haft fingrene nede i din taske eller baglomme og snuppet dine værdigenstande? Det burde du være.
Korte koder medfører katastrofale konsekvenser

Martin Kramer, it-sikkerhedsspecialist hos KnowBe4
Adgangskoder er første linje i vores digitale forsvarsværk. Når de først er kompromitteret, skal der mere end held til at stoppe katastrofen fra at udvikle sig med eksplosiv hastighed. En ny undersøgelse foretaget af KnowBe4 afslører, at danskernes dårlige kodeordsvaner stadig udgør en betydelig trussel mod både privatpersoner og virksomheder.
Rapporten viser, at næsten 20 procent af danskerne bruger korte kodeord – fordi de ikke kan huske dem, hvis de bliver for lange. Desværre er lange kodeord ikke løsningen alene – for 8 % af dem, der må stepdanse hen over tasterne for at få adgang til deres digitale konti, bruger den samme kode på tværs af alle deres profiler og konti. Dette svarer med andre ord til at få fremstillet en universalnøgle, som i hænderne på de forkerte kan give dem uforstyrret adgang til dine data.
Her ville et lille plaster på såret kunne være anvendelsen af multifaktorgodkendelse. Desværre ved mere end hver tredje dansker ikke, hvad multifaktorgodkendelse er, og derfor gør de naturligvis ikke brug af denne – mange steder påkrævede – sikkerhedsforanstaltning. Og over 20 procent ved heller ikke, hvad en adgangskodeadministrator egentlig er.
92 procent fravælger effektiv sikkerhedsforanstaltning
Ifølge rapporten vælger mange de korte og simple kodeord af ren og skær bekvemmelighed og for lettere at kunne huske dem – noget en adgangskodeadministrator ellers ville kunne være behjælpelig med. Adgangskodeadministratoren, der både kan generere og huske de stærke kodeord, anvendes af 40 procent af danskerne – men kun 8 procent af danskerne benytter denne sikkerhedsforanstaltning konsekvent.
Mange forstår ikke behovet for stærke kodeord eller konsekvenserne af genbrug. Derfor bør virksomheder spille en central rolle i at ændre dette gennem uddannelse og træning, så det bliver langt sværere for de cyberkriminelle at få succes med deres angreb.
Både virksomheder og private er sårbare over for ransomware-angreb, datalækager, identitetstyveri og økonomiske tab. Og selvom det it-sikkerhedsmæssige skakspil udvikler sig sekund for sekund og bit for bit, er det ikke for sent at forbedre og optimere de digitale forsvarsværker.
Tag de ansatte i hånden og gør livet surt for hackerne
For at tage cybersikkerheden alvorligt kræver det handling på både individuelt og organisatorisk niveau med stort fokus på håndtering af menneskerelaterede risici. Det er afgørende, at man stopper med at genbruge kodeord og begynder at anvende unikke adgangskoder til hver enkel tjeneste. Hvis man tilmed omfavner mulighederne for at anvende en adgangskodeadministrator, gør man både processen nemmere og mere sikker og hurtigere, samtidig med at du reducerer risikoen for menneskelige fejl i password management.
Samtidig bør virksomheder tage ansvar ved at implementere klare kodeordspolitikker, der kræver unikke og komplekse kodeord, og indse, at menneskelig adfærd er en kritisk faktor i cybersikkerhed. Med en obligatorisk multifaktorgodkendelse for hver enkelt platform styrkes sikkerheden yderligere.
Dette bør suppleres med en omfattende menneskelig risikostyringsstrategi, herunder regelmæssige risikovurderinger, adfærdsanalyser og målrettede interventioner for at imødegå potentielle sårbarheder forårsaget af medarbejdernes handlinger. Denne tilgang stemmer overens med det øgede fokus på hjørnestenen i organisatorisk it-sikkerhed – nemlig medarbejderuddannelse og træning, som bør skræddersyes til at adressere specifikke menneskelige risikofaktorer identificeret i organisationen.
Sikkerhedsbevidsthed starter med den enkelte medarbejder
Det er vigtigt at erkende, at menneskelige handlinger, uanset om de er bevidste eller utilsigtede, kan skabe sårbarheder, som cyberkriminelle udnytter. Derfor skal organisationer implementere igangværende programmer, der ikke kun uddanner medarbejdere, men også overvåger, måler og mindsker risici forbundet med menneskelig adfærd i en cybersikkerhedskontekst.
Et oplagt sted at starte er ved at understrege vigtigheden af gode adgangskoder og fremme en kultur med sikkerhedsbevidsthed. Ligesom nøglekort, adgangsmærker og QR-koder på personalekort bør håndteres og opbevares med den største omhu, bør vi også være forsigtige med vores adgangskoder. For cyberkriminelle bryder ikke ind i aflåste lokaler i arbejdstiden. De opererer i mørket, når computeren er klappet sammen, og skrivebordslampen på kontoret er slukket.
Af Martin Kramer, it-sikkerhedsspecialist hos KnowBe4