Passord

En virksomhetsgodkjent passordmanager løser den største utfordringen knyttet til håndtering av passord, nemlig at gode passord er; lange, tilfeldige og unike. Med andre ord er gode passord tilnærmet umulige og huske om man har mer enn noen få og forholde seg til.

Passordmanageren løser dette ved å redusere passord man må huske til passordet for PC-en og passordet for passordmanageren

Det er viktig at passordmanageren er satt opp slik at den er enkel å ta i bruk og bruke.

Ved forskjellige adskilte domener burde det være en passordmanager tilgjengelig i hvert enkelt domene.

For de som vil lese mer om fordeler og ulemper med passordmanager generelt har Troy Hunt en god artikkel

Tjenester som er nåbare fra internett er veldig utsatt både for tilfeldige og målrettede angrep. Svært mange av utpressingsskadevareangrep mot amerikansk helsesektor de siste årene har startet med at angriper har lyktes i å gjette brukernavn og passord for innlogging gjennom Remote Desktop Protocol.

Resten av tekst er identisk mellom begge punkt om MFA.

Multifaktorautentisering innebærer å kreve mer enn en autentiseringsfaktor når bruker forsøker å logge inn.

Her brukes ofte begrepene multifaktorautentisering, flerfaktorautentisering, tofaktorautentisering, totrinnsbekreftelse m.fl. om hverandre. Vi kommer til å bruke multifaktorautentisering (MFA)

De fleste nordmenn er kjent med dette gjennom BankID hvor man kombinerer passord med en engangskode, eller BankID på mobil, hvor din mobil kombineres med din PIN-kode.

MFA kan implementeres på en rekke måter, det vanlige er å kombinere passord og noe annet.

Noen potensielle faktorer som kan kombineres er:

Passord

Fysisk kodegenerator

Kodegenerator på mobilen, for eksempel Google Authenticator.

Kode sendt på SMS

Mobiltelefonens UID

Nettvett gir en kort og lettlest innføring i flerfaktorautentisering

NCSC UK har også en god artikkel om MFA.

MFA er et veldig godt mottiltak mot både phishing, gjenbruk av passord og svake passord.

Kritiske tjenester bør i utgangspunktet ikke være nåbare fra internett, og dette reduserer angrepsflaten deres.De bør likevel sikres med MFA for å forhindre at en angriper som har fått en fot innenfor enkelt kan skaffe seg tilgang videre.

Resten av tekst er identisk mellom begge punkt om MFA.

Multifaktorautentisering innebærer å kreve mer enn en autentiseringsfaktor når bruker forsøker å logge inn.

Her brukes ofte begrepene multifaktorautentisering, flerfaktorautentisering, tofaktorautentisering, totrinnsbekreftelse m.fl. om hverandre. Vi kommer til å bruke multifaktorautentisering (MFA)

De fleste nordmenn er kjent med dette gjennom BankID hvor man kombinerer passord med en engangskode, eller BankID på mobil, hvor din mobil kombineres med din PIN-kode.

MFA kan implementeres på en rekke måter, det vanlige er å kombinere passord og noe annet.

Noen potensielle faktorer som kan kombineres er:

Passord

Fysisk kodegenerator

Kodegenerator på mobilen, for eksempel Google Authenticator.

Kode sendt på SMS

Mobiltelefonens UID

Nettvett gir en kort og lettlestinnføring i flerfaktorautentisering

NCSC UK har også en god artikkel om MFA.

MFA er et veldig godt mottiltak mot både phishing, gjenbruk av passord og svake passord.

Alle brukerkontoer i Active Directory (AD) bør ha minimum 14 tegn. Målet med dette tiltaket er å unngå de enkleste forutsigbare passordene. Erfaringer fra inntrengningstester er at når lengdekravet økes fra 8 til 14 reduserer dette antall passord vi gjetter dramatisk.

Passordstyrken skal ikke bare sikre mot at angriper gjetter første konto, det skal også sikre mot angripere som får tilgang til passordhasher og forsøker å knekke disse for å skaffe flere gyldige passord.

Som over er målet her å ta bort muligheten angriper har til å gjette passordet. Siden administratorkontoer er en mye mer kritisk ressurs enn passordet til vanlige brukere er kravet strengere.

Som over skal lengden her beskytte mot knekking av passord.

Kompleksitetskrav er en vanlig måte å tenke at man gjør det vanskeligere for angriper å gjette rett passord. Et vanlig slikt krav er å kreve en blanding av store og små bokstaver og tegn. Resultatet av dette er at flertallet av brukerne oppretter passord av typen "Passord1". Altså start med stor bokstav, resten av ordet, og et (eller to) tall på slutten. Angripere vet også dette og legger opp angrep deretter. Det eneste man da oppnår er at det er vanskeligere for brukere å lage og huske passord, angriperen er i liten grad påvirket.

NCSC UK har en god artikkel om hvorfor dette i liten grad gir ønsket effekt. Se under "Do not use complexity requirements".

Tvungne passordbytter resulterer i at brukere lager passord basert på mønster som er enkle å huske. I tillegg brukes kompromitterte passord som regel umiddelbart etter at de kommer på avveie.

NCSC UK har en god artikkel om hvorfor dette i liten grad gir ønsket effekt. Se under "Don't enforce regular password expiry".

Dårlige passord, f.eks.Sommer21, Sommerferie2021 og lignende tilfredsstiller stort sett alle kompleksitetskrav, men er likevel enkle å gjette for en angriper. Våre erfaringer fra inntrengningstester viser at med tilgang på nok brukerkontoer finner vi alltid noen med et slikt passord.

Erfaringsmessig er det vanskelig å opprette utfyllende lister over passord som ikke er godkjent. I tillegg gir det en dårlig brukeropplevelse å forsøke å lage et passord som er innenfor passordpolicy, for deretter å få beskjed om at valgt passord er svartelistet.

Dette tiltaket er todelt og tanken er at man gjør en av delene.

Å sjekke etter dårlige passord er relativt enkelt, men krever kontinuerlig arbeid.

Å tildele passord semi-tilfeldig krever mer i implementering men gir mindre gjentagende arbeid.

Målet uansett metode er å redusere angripers mulighet til å gjette seg fram til forutsigbare passord.

Sjekk etter dårlige passord:

Denne oppskriften er basert på rutinen Sykehuspartner bruker i dag.

Brukere kan opprette passord på minimum 14 tegn som ikke utløper på tid. De må kun byttes om passordet kommer på avveie. Samtidig gjennomføres det, minimum månedlig, sjekker for å finne svake passord. Om et svakt passord oppdages regnes dette som på avveie og må byttes.

Rent praktisk trenger man en som administrerer Windows (administrator), og en som forsøker å knekke passord (knekkeren).

Administratoren henter ut listen over (NTLM) passordhasher i bruk i domenet og gir denne til knekkeren. Her gis hashlisten, ikke tilhørende brukernavn. Knekkeren forsøker å knekke hashene. Lykkes han meldes aktuell hash tilbake som et svakt passord, men administratoren får kun vite hvilken hash det er snakk om, ikke hvilket passord det er. Dermed har hverken administratoren eller knekkeren tilgang til et brukernavn med tilhørende passord.

Det er viktig at denne tilnærmingen er kombinert med informasjon til bruker.

Tilfeldig passordtildeling:

Denne metoden går ut på at brukere tildeles passord som er generert tilfeldig. Passordene bør være bygd opp av 3-4 tilfeldige sammensatte ord. Ord med særnorske bokstaver bør unngås. Denne metoden for å huske passord er beskrevet av NCSC UK for de som ønsker en faglig begrunnelse. Tegneserien XKCD har også en visuell beskrivelse.

To viktige poeng her er at passordene genereres automatisk for å unngå brukermønster, og at det er enkelt for brukere å generere nye slik at de har anledning til å få en kombinasjon de kan lage seg en huskeregel på.

Vi tilbyr en tjeneste hvor vi leter etter passord på avveie og varsler om vi oppdager dette for din virksomhet.

Vi anbefaler at man lager en rutine for hvordan man skal reagere på varsler man får.

Du kan lese mer om tjenesten Brukernavn og passord på avveie under nasjonalt beskyttelsesprogram.

Tjenesten er tilgjengelig og gratis for alle medlemmer i NBP.

Innloggingsmetoder basert på smartkort med PIN-kode eller biometri (for eksempel fingeravtrykk eller ansiktsgjenkjenning) vil ofte kunne lette hverdagen for de som skal ha tilgang betraktelig, uten å i vesentlig grad senke sikkerheten. Vi anbefaler at alternative innloggingsmetoder tillates hvor mulig.
Det er likevel viktig at dette ikke erstatter original innloggingsmetode. For eksempel kan skader eller lignende på fingertupper gjøre at fingeravtrykk plutselig ikke fungerer som forventet.