När lugnet börjat lägga sig efter larmrapporterna om Heartbleed-buggen är det dags att på allvar utvärderarutinerna för hur vi hanterar lösenord i den egna organisationen. Lika viktig som lösenordshanteringen är för informationssäkerheten, lika allvarligt hotad är säkerheten av den livsfarliga kombinationen Heartbleed och återanvända lösenord. Här delar vi med oss av några tips på hur du kan stärka säkerheten i grunden genom att noggrant granska och revidera hur ni lagrar, delar och använder lösenord i organisationen.
Vi har den senaste tiden kunnat läsa en mängd berättelser om ”The Heartbleed Bug”, av många ansedd som den största säkerhetslucka som drabbat Internet hittills. Antagligen har du redan en tydlig bild av Heartbleed. Men efter några veckor av säkerhetsvarningar, oro, konsekvensanalyser, prognoser och tolkningar börjar den värsta oron lägga sig.
I de stora mängder av information vi sett den senaste tiden är det lätt att missa det viktigaste säkerhetshotet kopplat till Heartbleed-buggen: lösenordshantering. Varför är då hanteringen av lösenord den viktigaste aspekten? Jo, därför att otillfredsställande rutiner för lösenordshantering i kombination med Heartbleed kan få förödande konsekvenser, både för organisationen och den enskilda individen.
Återanvända lösenord + Heartbleed-buggen = En livsfarlig kombination
När Heartbleed-buggen – den allvarliga säkerhetsbristen i implementationer med Open SSL och TLS – blev allmänt känd den 7 april hade buggen funnits, oidentifierad, i nästan två år. Det var då inte känt om den hade utnyttjats mot någon webbapplikation. I förebyggande syfte rekommenderade de flesta leverantörer, efter att de själva åtgärdat buggar och adresserat sårbarheten i sin ände, sina kunder att ändra lösenord. Vid det här laget har du säkert fått en mängd meddelanden som uppmanar dig att ändra dina lösenord.
När du får en rekommendation från en programleverantör med anledning av Heartbleed kommer du antagligen ändra lösenordet för det programmet eller den webbplatsen och sedan känna dig trygg. Men eftersom de flesta av oss tenderar att använda samma lösenord för flera webbplatser och applikationer är den bistra sanningen att vi i resten av våra online-liv fortfarande kan vara i riskzonen.
Låt säga att en hackare har lyckats knäcka ditt lösenord genom att utnyttja Heartbleed-buggen på en webbplats eller i en applikation. Använder du samma lösenord för alla dina konton online har hackaren genom att knäcka koden en gång lyckats få tag i "huvudnyckeln" till alla dina konton, även om de som inte är drabbade av Heartbleed.
Några högriskscenarier:
- Du använder samma lösenord överallt: i sociala medier, för olika webbapplikationer, serviceportaler samt för inloggning till banken och andra finansiella tjänster online. Ett lösenord som knäcks på ett ställe genom att utnyttja Heartbleed-buggen kan ge hackaren tillgång till alla dina andra konton och resultera i att ditt bankkonto töms.
- En anställd i din organisation har använt samma lösenord för personliga konton och sociala medier som för webbapplikationer, e-post och VPN som används i arbetet. Det räcker då med att hackaren via Heartbleed-buggen kommer åt informationen på en plats för att kunna ta sig över tröskeln in din organisation.
När ett säkerhetstillbud inträffar på ett ställe bör du därför återställa lösenorden för alla andra online-konton som kan påverkas av den händelsen. Du bör återställa lösenorden oavsett om du använder samma lösenord eller om har ett unikt lösenord för varje konto. Innan du återställer ditt lösenord bör du också se till att lista alla online-applikationer där du har ett konto.
Heartbleed – Så förhindrar du säkerhetsrisker
Börja med att kontrollera om någon av de online- eller webbapplikationer som du använder är eller har varit drabbats av Heartbleed-buggen. Om så är fallet bör du ta de säkerhetsmeddelanden som leverantören har skickat ut på allvar och ändra lösenord. Om du använt samma lösenord i flera program bör du dessutom ändra lösenordet för dessa. Det gäller även applikationer som inte är eller har varit påverkade av Heartbleed.
Oavsett om de drabbats av Heartbleed eller inte råder de flesta leverantörer idag sina kunder att återställa lösenord för att förhindra framtida hackerattacker. När en leverantör råder dig att återställa lösenordet för en webbplats eller applikation, välj ett unikt och starkt lösenord. Följ rekommendationerna från din leverantör när du återställer ditt lösenord. Att ändra lösenordet på en viss webbplats innebär bara att du är skyddad om den webbplatsen redan har täppt till säkerhetsluckorna i sina system.
Skapa ett unikt lösenord för varje enskild webbplats och applikation. När det kommer larm om lösenordsexponering eller attack behöver du då bara ändra lösenordet för just den webbplatsen eller applikationen. Vår starka rekommendation är att löpande uppdatera alla lösenord i organisationen och uppmana medarbetarna att göra detsamma.
Tyvärr leder detta till nya utmaningar: du behöver hålla reda på alla olika lösenord, ofta tiotals kanske till och med fler. Risken finns att du glömmer lösenord och när du som behöver kämpar med att logga in i värsta fall tvingas ge upp av ren trötthet.
Dags att se över rutinerna för lösenordshantering
Att ändra lösenord eller skapa unika lösenord är viktigt för att minimera riskerna, men tyvärr inte tillräckligt för att garantera datasäkerheten. Lösenordshantering är grunden för informationssäkerhet och en sund strategi hjälper dig att effektivt bekämpa sårbarheten med hot liknande Heartbleed. Efter att ha tätat säkerhetsluckorna enligt rekommendationerna för Heartbleed, bör du se över hela din lösenordshantering.
Framförallt bör du se över hur lösenorden lagras, delas och används i organisationen. Lösenordshantering handlar inte bara om att lagra lösenord. Det omfattar aktiviteter som konsolidering, säkring, styrning, hantering och övervakning av konton för priviligierade användare. Några viktiga punkter att tänka på när du gör din genomgång:
- Se till att IT-resurser och webbapplikationer tilldelas starka, unika lösenord. Undvik all återanvändning av lösenord.
- Säkerställ att admin-lösenord som ger obegränsad behörighet till IT-systemen aldrig skrivs i klartext på lösa blad som post-it-lappar, kalkylblad, utskrifter eller textdokument.
- Låt användare bara få tillgång till de lösenord för de specifika resurser de behöver för att kunna utföra sitt arbete.
- När lösenord ska delas med andra, se då till att ha en rutin som följer en noggrann process som omfattar: 1) godkänt förfarande för lösenordsförfrågningar, 2) tidsbegränsad åtkomst, samt 3) automatisk återställning efter användning.
- Byt alla lösenord med jämna mellanrum och säkerställ att organisationens IT-policy efterlevs.
- Se till att tillgång till konton med känsliga information alltid sker utan att underliggande lösenord avslöjas. Det innebär att användarna bör kunna få tillgång till de resurser de behöver utan att se lösenordet i klartext.
- Övervaka alla aktiviteter som användare utför i särskilt känsliga system och stoppa misstänkta aktiviteter.
- Skapa ett register över ”vem, vad, och när” personer får systemaccess för att lättare upptäcka eventuella försök till manipulering.
Överväg systemstöd för din lösenordshantering
Professionell lösenordshantering är en grundförutsättning för att vi ska kunna bekämpa de digitala hoten. Men att lösa det på manuell väg är besvärligt, ineffektivt och ökar risken för fel. En lösning på problemet som bidrar till att skapa best practice, kan vara att använda en lösenordshanterare som ManageEngine Password Manager Pro. Med ett system för lösenordshantering kan du generera starka, unika lösenord och säkert lagra alla dina inloggningar och lösenord.
Låt Heartbleed-buggen bli en ögonöppnare som får dig och organisationen att sluta återanvända lösenord – för säkerhets skull. Nu är en perfekt tid att börja arbeta proaktivt med att skydda dina lösenord.
Kontakta oss om du vill veta mer om hur andra organisationer har gjort för att få kontroll över sina lösenordshantering.