Vet du at dine brukere hater passord?

28 04 2009

CIO Sverige hadde sammen med sikkerhetsselskapet Norman en undersøkelse i 2007 om hvilke sikkerhetstiltak brukerne hatet mest. De kom opp med en liste på punkter. Det brukerne hatet mest, altså den tvilsomme æren av 1.plass over irriterende sikkerhetstiltak, var at de måtte bytte passord ofte svarte 43 % av de 1200 som ble spurt. Artikkelen fra CIO Sverige kan leses i sin helhet her.
Brukerne liker ikke å følge regler, slik er det bare. Når en sluttbruker må forholde seg til 10-15 passord sier det seg selv at det ikke er spesielt brukervennlig eller produktivt. Jeg har til og med vært hos en kunde som implementerte Enterprise Single Sign-On (eSSO) fordi fagforeningen krevde en løsning på det de kalte Passordhelvetet. Når det er mange applikasjoner som trenger egen bruker og passord, og disse ikke brukes daglig er det vanskelig å holde orden og huske alle passordene. Trykket mot brukerstøtte over henvendelser om glemt passord hadde topper spesielt etter ferier.  Hvordan tror du arbeidssituasjonen er hos brukerstøtten når vi snakker om nesten 10000 brukere?dilbert_passwords Svake eller manglende passordpolicies utgjør en sikkerhetsrisiko. Hvorfor? Jo, bl.a. fordi brukere som ikke liker passordregimet i bedriften finner alltid alternative omveier for å unngå en policy som ikke tvinger deg til å følge den. Vet du egentlig hvor mange av dine brukere som bruker samme det samme passordet over alt? Bruker de ansatte det samme passordet på eksterne internett applikasjoner som Facebook, GMail, MSN, Twitter osv. som de har på interne applikasjoner? Hva skjer dersom en eller annen får tak i et eksternt passord, som da gjenbrukes i alle eksterne tilkoblinger, og et internt brukernavn? Ikke mulig sier du? Vel, jeg har vært hos en kunde som faktisk sender ut brukeridenter på alle utgående fakturaer. Ikke særlig smart spør du meg. Et annet aspekt med svake passord og dårlig holdninger om å holde passordene for seg selv ble svært tydelig i en sak i England hvor en bankansatt klarte å ta til seg 90 mill Euro ved å bruke passord og brukernavn til sine kollegaer. Et annet eksempel er et ikke navngitt selskap som ble hacket og frastjålet 28000 brukeridenter med tilhørende passord. Neste 15 % hadde enkle passord som «1234», «abcd», «qwerty», eller det supersikre passordet «password».

Jeg vil påstå at et skritt i riktig retning for å takle denne type problemstillinger er policies. Mange selskaper har en passordpolicy som kun er skrevet ned på et stykke papir. Få den implementert og sørg for at den håndheves! God styring av brukere og passord vil være lønnsomt for ditt selskap. Utad vil kanskje omdømme være viktig, mens innad vil dine brukere være fornøyde dersom det ikke hemmer brukerne i å utføre sine arbeidsoppgaver. Innføring av for eksempel Single Sign-On vil redusere henvendelser til brukerstøtte, og brukerne slipper å huske på så mange passord. Med en selvbetjeningsside hvor brukerne kan reset’e sitt passord dersom de har glemt det vil også bidra til å forbedre brukeropplevelsen. Det er alltid vanskelig å sette en pris på sikkerhet. Uansett er det viktig å ta med de myke verdiene i vurderingen. Dersom dine brukere ikke er fornøyde spiller det svært liten rolle hvilke sikkerhetstiltak du setter i gang. Har dine brukere mange passord de må huske på? Kan du garantere at de ikke har et felles passord for alle applikasjoner, både interne og eksterne, som de bruker og ikke har oppdatert på flere år? Ikke det nei? Da er det vel på tide å ta et sikkert grep om forretningen. God sikkerhet lønner seg!

Share on Facebook

Reklamer

Handlinger

Informasjon

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Kobler til %s




%d bloggere like this: