Udgivet den af Ole Schmitto

To udfordringer igen i 2022

Så er vi ved at være fremme ved afslutningen af året.

Fik vi forbedret vores IT-sikkerhed for 2022 som planlagt?

Ja, det kan du jo kun selv svare på.

Samme udfordringer i 2023?

Jeg ser 2 udfordringer, der har været her lige siden jeg startede i IT-sikkerheds branchen for snart 40 år siden.

De samme 2 udfordringer som ville gøre virksomheder langt mere sikre, hvis man gjorde mere ved dem og dermed sænke risikoen betragteligt.

  1. Passwords
  2. Sårbarheder

1. Passwords – et monster

Password er og bliver et kæmpe monster,

  • alle skal have dem
  • ingen gider dem
  • de fleste genbruger dem

Det er faktisk utroligt, at password systemet i bund og grund ikke har udviklet sig siden sin start.

  • brugernavn
  • password

Sådan har det altid været. Men først fandt man på, at vi skulle bruge en meget dyr token, RSA SecureID, som viste 6 cifre der roterede hver minut. Jeg mener, jeg så de første tilbage i slut 1990’erne…… og nu i 2022, har vi fået MitID, hvor der kan tilknyttes en tilsvarende kode viser.

Så 2-faktor login går rigtig langt tilbage i tiden, og alligevel prædiker vi den dag i dag: “Få nu styr på dit password og aktiver 2-faktor” … 30 år efter.

2-faktor på alle konti.

Virksomheder bør kræve 2-faktor på alle konti.

Men det er så besværligt.

Enig, men der er ingen vej udenom, og ledelsen i virksomheden bør gå forrest.

Forsiden af BT, 20. December 2022Justitsminister Peter Hummelgaard er blevet hacket

Kommentar: Nej, du er ikke blevet hacket, du har bare ikke styr på dine passwords.

Det værste jeg ser er, at ledelsen siger, at det SKAL indføres. For så bagefter ikke at leve op til det selv🤬.. Enhver ledelse bør tage det med som et positivt emne på fællesmøder.

PS. Bruger du Microsoft 365?

Så kan du med Conditional Access sørge for, at man på godkendte lokationer ikke bliver anmodet om MFA. Så vidt jeg ved, kræver det enten en M365 Premium licens eller tilkøb af andre licenser.

Password manager.

Jeg bruger selv to password managers, installeret primært på min iPhone.

  • Microsoft Authenticator, hvor jeg jo blot skal godkende login til mine M365 konti.
  • 1Password som jeg har brugt i mere end 10 år, og som har en browser plugin, der gør, at det er nemt at udfylde brugernavn, password og 2-faktor.
  • 1Password indeholder.
    • Login inkl. 2-faktor koder
    • Noter
    • Identiteter
    • Pas
    • Kreditkort
    • Krypterings nøgler
    • CPR numre
    • WiFi passwords
    • Dokumenter
    • Server logins

Ja, alt jeg kan få behov for, og som jeg gerne vil sikre ikke falder i andres hænder.

Hvad bringer fremtiden?

Forhåbentlig en opgradering af den nuværende løsning. Der er mange forsøg i gang fra både Apple, Microsoft, Google og så diverse 3. parts leverandører.

En positiv ting omkring den nuværende metode er, at den stort set er uafhængig af platformen du anvender under login. Og den fordel skal stå højt på den ny ønskeliste.

PS. PS. Hjælp et familiemedlem!

Får du muligheden i julen, så hjælp et familie medlem med at få styr på deres passwords.

2. Sårbarheder.

Andet afsnit om sårbarheder, skriver jeg til dig om lige inden nytår.

Glædelig jul!