Key takeaways
- Högrankade chefer och företagsägare använder svaga och lätta att knäcka lösenord.
- Mänsklig lättja och brist på ordentlig träning är felet.
-
Att använda en lösenordshanterare är den bästa lösningen.
Du kanske tycker att din chef borde föregå med gott exempel när det kommer till bra lösenordsanvändning, men verkligheten-överraskningen-är att de är lika dåliga, och på vissa sätt värre, än resten av oss.
Enligt en ny rapport från lösenordshanteraren och VPN-tjänsten Nord Security använder högnivåchefer svaga lösenord som är lätta att knäcka, precis som alla andra. I själva verket, förutom att de inte bryr sig om att skydda sin egen, eller sina företags, säkerhet, verkar de ha en konstig preferens för fantastiska varelser.
"Intressant nog visade studien att ledande befattningshavare också i stor utsträckning använder namn på människor (t.ex. Tiffany, Charlie, Michael, Jordan) och mytiska varelser eller djur (dvs. drake, apa) i sina lösenord, " Patricija Černiauskaitė från Nord Security berättade för Lifewire via e-post.
Too Busy to Care
Så varför är chefer så dåliga på lösenord? Precis som vi andra tror de att de har viktigare saker att göra.
"Befattningshavare översvämmas av frågor och information och uppmanas också att fatta beslut på en del av en sekund om en rad ämnen. Även om de kom på en rudimentär kartläggning av lösenord (t.ex. "samma lösenord + fin@ nce" för finanssajter; "samma lösenord + s0c1al" för sociala sajter), det sista de vill göra är att avbryta sin tankeprocess genom att behöva tänka på ett specifikt lösenord för en specifik sajt", sa Pedro Canahuati, CTO för 1Password, till Lifewire via e-post.
Resultatet är att det vanligaste lösenordet som används av kontorsbor på hög nivå är 123456 följt av det gamla klassiska lösenordet.
Vi vet att lösenord är viktiga, men det gör dem inte lättare att komma ihåg. Hemma är det lika säkert att skriva dem på papper, men på kontoret är det uppenbarligen en dålig idé. Men är det medarbetarnas fel – på vilken nivå som helst – eller bör ett företags IT-avdelning ta hand om utbildningen och hantera detta? Försök trots allt att tänka på ett annat område i näringslivet där konsekvenserna för misslyckanden är så fruktansvärda, men de anställda tillåts att bara vingar det.
"Jag tror att om fler människor visas av sitt företag hur man förenklar den komplexa världen av lösenordslagring med exempel, utbildning och verktyg, skulle människor vara mer mottagliga för att implementera starka lösenord", Chris Lepotakis, senior associate hos global cybersäkerhetsutvärderare Schellman, berättade för Lifewire via e-post. "I min personliga erfarenhet har jag sett att detta är ett bristområde som fler företag borde överväga att förbättra i sina läroplaner för säkerhetsutbildning för anställda."
The Answer
Svaret är att föreskriva användningen av en lösenordshanterare av något slag. Det finns massor av tjänster att välja mellan, och de integreras med webbläsare och annan programvara. En lösenordshanterare genererar säkra lösenord, kommer ihåg dem och fyller i dem automatiskt när du behöver dem.
Allt användaren behöver göra är att komma ihåg ett enda lösenord eller en lösenordsfras, den som behövs för att låsa upp lösenordshanterarens app. Visst skulle företagssystem kunna låsas ner så att lösenord bara kunde anges via en lösenordshanterarapp som NordPass eller 1Password, och därmed ta bort den lata människan från ekvationen?
I min personliga erfarenhet har jag sett att detta är ett bristande område som fler företag borde överväga att förbättra…
Men, naturligtvis, det finns ett problem här. Vi lata människor kommer bara att välja 123456 eller poochie89 som huvudlösenord, vilket skulle kunna avslöja hela deras samling av lösenord med en välriktad social ingenjörsattack. Å andra sidan är det möjligt att knyta detta huvudlösenord till en fysisk token av något slag, som användarens telefon eller en säkerhetsnyckel.
Är någon bra på lösenord?
Medan jag undersökte den här artikeln frågade jag respondenterna om det finns några grupper som faktiskt är bra på lösenordssäkerhet. Jag tänkte att säkerhetsexperter eller IT-folk kanske skulle göra det bättre.
Svaren var blandade, men de flesta sa att det inte finns någon grupp som sticker ut, men tack och lov vet åtminstone IT-säkerhetspersonal vad de borde göra.
"Jag kan ärligt säga att de flesta säkerhetsteam för alla organisationer verkligen verkar hantera lösenordssäkerhet bättre", säger Lepotakis, "men jag skulle inte säga att det är konsekvent sant. Jag tror att detta verkligen återkopplar till min ursprungligt uttalande i avsnittet om chefer. Vi är alla fortfarande människor, och människor gör antingen misstag eller avstår från lämplig säkerhet för att göra livet lättare."
Fördelen med allt detta är att du bör använda en lösenordshanterare, ta dig tid att skapa, lära dig och komma ihåg ett starkt huvudlösenord och aldrig berätta det för någon.
Borde vara lätt nog.