Firma tilpassede password managers er begyndt at lukke hullet med Single sign-on (SSO) og services i skyen.
Password manager var i starten en måde for private brugere at holde styr på passwords. Det gør det nemt at bruge sikre passwords, uden at skulle huske mange forskellige. Man skal blot huske sin adgang til password manageren, som i de fleste tilfælde krypterer data, så ikke engang hackeren kan få adgang dertil.
Alle de største password managers har udover en løsning til PC/Mac også mobile versioner. Derved er det nemt at logge ind til systemer, uanset hvor man befinder sig. De understøtter også multi-factor authentication (2-faktor) for ekstra sikkerhed.
Virksomheders Single sign-on (SSO) og cloud løsninger efterlader huller
Virksomheder har i dag som regel deres egne måder at håndtere passwords på. De bruger Single sign-on (SSO) udbydere og Cloud access security broker (CASB), der beskytter deres cloud-baserede applikationer.
Men af de største sikkerheds udfordringer er, at disse løsninger ikke dækker alle de konti en ansat bruger i sit arbejde.
Resultatet af dette er, at den ansatte forsøger at holde styr på passwords ved hjælp af usikre systemer. Ansatte i administrationen har ofte rigtig mange konti forskellige steder. Jeg har set eksempler på behov for helt op til 5-600 konti. Disse deles mellem flere ansatte via emails eller ukrypterede dokumenter. Det værste er, når de ansatte for nemheds skyld vælger ET password til alle services. For når det bliver “knækket”, så har man virkelig problemer.
I følge firmaet Ovum har 56% af alle virksomheder ikke SSO overhovedet, og hos yderligere 22 procent dækker SSO kun de største systemer. Mindre virksomheder har slet ikke resurser til at implementere SSO.
Hovedbudskabet i undersøgelsen er:
- De fleste ansatte ved, de har et problem, men gør ikke noget ved det
- Halvdelen af de ansatte siger passwords påvirker deres produktivitet
- Manglende kontrol og styring af cloud applikationer er normalt
- Manuel styring og sikring af passwords er normalt
- Alt for mange virksomheder overlader password sikkerhed til den enkelte ansatte
- De fleste ansatte ville bruge en password manager, hvis virksomheden tilbød det
Selvom virksomheden har en SSO løsning på plads, så dækker den ikke private konti. Da mange genbruger det samme password, fordi det er nemt at huske, ja så vil forretnings konti jo ofte ende med private passwords.
Mange ansatte har oprettet private konti hos DropBox og Evernote, som de også bruger i virksomheden.
De mest populære hjemmesider understøtter slet ikke SSO via SAML . Så måske er 50 procent af applikationer ude af SSO muligheden, og kræver et brugernavn og password. Mange bruger social media web til at logge ind til virksomhedens data.
Så hvad gør de ansatte? Ofte gemmer de passwords i ganske almindelige tekst dokumenter eller Note apps på deres Smartphone. Det var jo netop søgningen efter password.doc, som Sony hackeren brugte, og fik ca. 3.000 forskellige filer retur med passwords. I Kalundborg Kommunes data leakage sag, fandt man også dokumenter med adminsitrative passwords i klar tekst.
Vi er lige nu i et password helvede.
Firmaet One Identity har lavet en undersøgelse , der viser at 18% procent bruger papirbaserede løsninger til at styre priviligerede konti, 36 procent bruger regneark, og 2/3 (67 procent) bruger 1 eller 2 værktøjer. Dette viser, at der ikke er en fastlagt standard.
Password manager kan hjælpe
Password manager firmaerne 1Password, LastPass og Dashlane har også set nye muligheder. De er begyndt at tilbyde løsninger tilrettet til virksomheder, og ikke kun private brugere.
Softwaren kører i baggrunden på ens desktop, browser eller mobile enhed, og ser når en bruger bliver bedt om brugernavn og password. Hvis password manageren allerede har disse data, kan den udfylde disse efter at man har åbnet med sit master password. Dette ene password skal være meget avanceret. Alternativt opretter man et nyt avanceret password via Password manageren, som man skal aldrig huske. Når en ansat forlader virksomheden, mister han dermed adgang til virksomhedsrelaterede passwords, men kan fortsætte med at bruge de personlige, måske mod betaling af servicen.
Den primære fordel ved pasword manager er, at man ændrer brugernes adfærd. De lærer at beskytte deres færden på internettet, og de lærer den rigtige måde at håndtere sikre passwords på.
Løsningen kan også fortælle en bruger, om han benytter de samme passwords flere steder, og om der anvendes usikre og svage passwords. Nogle services oplyser også, hvis en hjemmeside har været kompromitteret, og man derfor bør skifte password nu.
Forskellige undersøgelser fortæller, at 80 procent af alle brugere genbruger passwords, og at en person typisk har behov for mellem 150 til 190 password. Selvfølgelig genbruges passwords. Hvordan skulle de ellers huske dem?
Nogle virksomheder kræver at man skifter passwords hver 30 dag
Nogle virksomheder kræver at man skifter passwords hver 30 dag, og ikke genbruger allerede anvendte. Det giver jo bare nye problemer. Enten skriver man sine passwords ned, eller også laver man dem logisk fortløbende, og bruger igen de samme passwords flere steder.
Password manager til delte konti
Flere Password Managers tilbyder nu muligheden for at dele konti/vaults, så man derved nemt kan dele sikre passwords.
Mange virksomheder har forskellige cloud konti, der tilgås af flere administratorer. Det kunne være Twitter i marketing eller Amazon Cloud service konto. Administratoren skal altid have det senest opdaterede password, og hvis man forlader virksomheden, skal man ikke længere havde adgang til passwords.
Man kan oprette password vaults, der deles mellem grupper. Det kunne være support, marketing og administration. Der tilbydes også mulighed for en løsning, hvis man skal ud og rejse. Så vælger man rejse vaulten, som ikke indeholder de mest kritiske data.
Privat Password Manager
Det kunne jo også tænkes, at en ansat vælger sin egen Password Manager, som virksomheden ikke har kontrol med. Det er kke så heldigt, når den ansatte forlader virksomheden. Konsekvenserne bliver endnu værre, hvis der vælges en usikker Password Manager.
Opdatering 4. april 2018: 1Password tilbyder nu en forretnings udgave
Firmaet bag 1Password, Agilebits har netop annonceret deres 1Password Business