5 trin til et stærkt password du kan huske

Hver dag bruger vi passwords til at logge ind på alt fra borger.dk til Facebook. Dette skaber et stort behov for, at man håndterer sine passwords sikkert, hvilket mange desværre ikke gør. Derfor vil vi i denne blogpost gennemgå, hvordan du kan lære dine brugere at bruge passwords sikkert, og hvorfor det er vigtigt.  



Hvorfor skal jeg have et stærkt password? 


Mange af os har nok ét password, som bliver brugt i lidt for mange forskellige situationer. Måske bliver det endda både brugt på arbejdet og i det private, men hvad er egentligt også problemet i det? Det har jo både tal, bogstaver og tegn, det er da et stærkt password? Måske er det rent faktisk et stærkt password, men når vi genbruger vores passwords, forøger vi risikoen for at blive ofre for IT-kriminalitet. IT-kriminelle ved nemlig godt, at mange genbruger deres passwords, så hvis de formår at trænge ind i bare én database, som f.eks. din lokale filmklub, prøver de sig frem med passwordet andre steder. Hvis man i en sådan situation har brugt det samme password til både arbejde og det private, har filmklubbens dårlige IT-sikkerhed, altså sat både dit arbejdes data og din egen persondata på spil. At genbruge passwords forværrer også konsekvenserne, hvis man f.eks. bliver offer for phishing, da den IT-kriminelle derved både har din e-mail og dit password.  


Ud fra en sådan situation virker det åbenlyst, at man ikke må genbruge passwords, men der er stadig mange der gør det. Der er endda mange som genbruger et password, som ikke engang er stærkt i sig selv, men hvorfor? Fordi det er let, og det er virker uoverskueligt at huske 16 passwords.  



Et stærkt password du kan huske 


For at gøre det lidt lettere har vi lavet en lille trinvis guide til, hvordan du kan lave stærke passwords, som på samme tid er lette at huske. 


Trin 1: 

Find på en sætning du kan huske, som f.eks: 

Jeg elsker at sejle 


Trin 2: 
Skriv første bogstav med stort: 

Jeg Elsker At Sejle 


Trin 3:  

Fjern mellemrummene: 

JegElskerAtSejle 


Trin 4: 

Indsæt et par tal: 

J3g3lskerAtSejle 


Trin 5: 

Insæt et specialtegn: 

J3g3lskerAtSejle! 



Voila! Et styks stærkt password er hermed lavet. Dette password må selvfølgelig ikke genbruges, men et godt tip til at kunne bruge det flere steder er, at indsætte noget i passwordet, som passer til siden hvor det bruges. F.eks. kunne man indsætte “FB” inden det sidste tegn, hvis man brugte koden på Facebook eller “GM” for Gmail. Så kunne koden altså se sådan ud: 


Facebook: J3g3lskerAtSejleFB


Gmail: J3g3lskerAtSejleGM


Med sådan et system er det mere overskueligt at håndtere sine passwords sikkert og samtidig kunne huske dem. Her kan det være en rigtig god idé at lave en sætning til arbejdsrelaterede logins og en anden til private logins, da det altid er god IT-sikkerhedskutyme at holde arbejdet og det private adskilt.  



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Hvem har ansvaret for IT-sikkerheden i din virksomhed? Din IT-leverandør eller dig selv?

Flere og flere danske virksomheder anvender IT-leverandører i store dele af værdikæden, særligt i forbindelse med drift, udvikling og vedligeholdelse af virksomhedens IT. Men har disse IT-leverandører dermed ansvaret for kundens IT-sikkerhed? Jeg oplever, at det er lige netop her, at problemet opstår… Hverken leverandører eller kunder er skarpe nok på hvordan ansvaret er fordelt. Her opridser jeg mit bud på hvorfor ansvarsfordelingen kikser – og jeg kommer med indspark til, hvordan din virksomhed undgår at lande i denne problematik.



Manglende afstemning i kunde-leverandør-forholdet


Jeg oplever, at der ofte er en forventning blandt danske virksomheder om, at det er IT-leverandørens ansvar og opgave at sørge for, at der bliver opretholdt en effektiv IT-sikkerhed i kundens virksomhed. Samtidig oplever jeg, at der er en klar intention fra leverandørernes side om, netop at fraskrive sig dette ansvar. Dette fører til at der i mange tilfælde ikke er en afstemt aftale imellem kunde og leverandør om placeringen af ansvaret for IT-sikkerheden. Den manglende afstemning kan have store konsekvenser for en virksomhed, hvis der fx opstår et problem med en server, hjemmesiden eller andet grundet manglende sikkerhedsforanstaltninger.



Årsager til at ansvaret falder i mellem to stole


Jeg har tre bud på, hvad problematikken kan skyldes i det enkelte tilfælde. Nogle gange er en af årsagerne i spil – nogle gange er det alle tre. Måske du kan nikke genkendende til et eller flere?


1. Uformelle aftaler og tillid


Kunde-leverandør-forholdet er præget af uformelle aftaler og tillid, og der er ikke (eller kun meget lidt) fokus på sikkerhed i aftaleforholdet. Jeg hverken kan eller skal blande mig i udformningen af aftaler.  Jeg kan blot konstatere, at IT-sikkerheden ofte ikke har fyldt meget i diskussionen frem til aftaleunderskrift, og derfor har parterne ofte en forventning til, at den anden part varetager IT-sikkerheden.


2. Forventning om at leverandøraftalen dækker mere, end den faktisk gør


Hvilke dele af IT-drift og -sikkerhed er en del af aftalen? Det kan godt være, at man har en leverandør til at hoste servere og systemer. Men hvad med arbejdsstationerne? Hvad med de mobile enheder? Og hvad med netværk og udstyr på virksomhedens lokation? Hvem sørger for det?

Leverandøren kan kun tage ansvar for de elementer, som indgår i leverancen. Realiteten er bare at langt de færreste angreb starter i et datacenter, hvor sikkerheden (ofte) er på et vist niveau. Langt oftere starter de på en arbejdscomputer eller en lokal server, hvor der ikke er styr på den basale sikkerhed (som f.eks. opdateringer).


3. Manglende viden om IT og IT-sikkerhed hos medarbejderne


Medarbejderne mangler viden og kompetencer ift. IT og IT-sikkerhed. Rigtig mange medarbejdere anvender udstyr og systemer uden at have den grundlæggende forståelse for, hvordan deres adfærd kan påvirke virksomhedens IT-sikkerhed.



Sådan sikrer du klare linjer mellem dig og din IT-leverandør


1. Få styr på hvor din leverandørs ansvar stopper, og hvor dit ansvar starter


Der er behov for mere fokus på IT-sikkerhed i aftalerne med IT-leverandører. Man er nødt til at åbne diskussionen med sin(e) leverandører om hvilke tiltag, der er etableret fra deres side, og hvordan ansvaret er placeret. Det er især vigtigt at få en åben dialog om, hvor leverandørens ansvar stopper, og kundens eget ansvar starter. Det er min erfaring, at det kun giver et bedre samarbejdsforhold, når disse linjer er trukket klart op, inden skaden er sket frem for efter (- hvor der kan være behov for at ”pege fingre” og ”vaske hænder” – noget som i bund og grund hverken gavner hverken kunde eller leverandør).



2. DIT ansvar at have styr på DIN virksomheds IT-sikkerhed


Det er nødvendigt, at du som kunde accepterer, at en del af ansvaret altid i sidste ende ligger hos dig. Derfor er du nødt til at implementere tiltag, som kan styrke de områder, hvor leverandøren ikke har nogen mulighed for det. Det kan eksempelvis aldrig være leverandørens ansvar, at en medarbejder klikker på en vedhæftet fil eller et skadeligt link i en e-mail. Det er kun virksomheden selv, der kan påtage sig dette ansvar.

Løsningen på denne type hændelser findes ikke i at investere i tekniske tiltag. Det kræver derimod klart kommunikerede retningslinjer til medarbejderne og løbende træning og uddannelse i IT-sikkerhed.



Drop mirakelkuren – god IT-sikkerhed starter med afklaring


God IT-sikkerhed starter med, at man får afklaret internt og med samarbejdspartnere hvem, der har ansvar for hvad. Det gode ved den øvelse er, at den ikke koster andet end tid. Men i en verden, hvor det går stærkt, og hvor diverse producenter lover 100% sikkerhed, hvis bare man køber deres produkt, så ender det ofte med, at denne tid ikke bliver taget. Det er simpelthen for fristende at købe mirakelkuren og så håbe på, at den virker… Det kan jeg godt forstå!

Udfordringen er bare, at det forholder sig med IT-sikkerhed som med det meste andet. Hvis det er for godt til at være sandt, så er det det nok også.


Derfor vil min anbefaling altid være, at både kunder og leverandører først og fremmeste bruger tid på at løse spørgsmålet om IT-sikkerheden – eller betale nogen for at hjælpe med det. Og at man husker på, at IT-sikkerhed ikke er noget, som kan løses udelukkende med mere teknik.

Har du haft en oplevelse, der minder om det, jeg beskriver? Eller har du nogle erfaringer, du gerne vil dele? Byd endelig ind.


Rasmus Vinge er medstifter af og CEO i CyberPilot. CyberPilot fokuserer på at hjælpe de virksomheder, som allerede har indset at IT-sikkerhed = risiko og håndtering heraf. Det gør vi ved at fokusere på de tiltag, som har størst værdi ift. de investerede ressourcer. Og vi gør det på en pragmatisk måde, så det kommer til at virke i praksis!


Følg os her på hjemmesiden eller på LinkedIn. Vi kommer løbende med råd og vejledning til, hvordan man som dansk virksomhed med simple skridt kan arbejde med IT-sikkerhed, og hvordan man sørger for at anvende sine ressourcer mest effektivt.