Identiske adgangskoder: Risikoen ved gentagen brug af adgangskoder

Et login hacket – alle adgangskoder i fare.

IT-administratorer bærer hovedbyrden, når det gælder beskyttelse af systemer og data. Et særligt vedholdende risiko er identiske eller genbrugte adgangskoder. Dermed åbner brugerne – ofte utilsigtet – døren for angribere til credential stuffing, kontoovertagelser og laterale bevægelser i netværket. Undersøgelser viser, at brug af stjålne adgangskoder er en af de hyppigste indledende faktorer i sikkerhedshændelser (se kilder nedenfor).

Risiko for omfattende kompromittering

Hvis en konto kompromitteres, tester angribere automatisk de samme adgangsoplysninger på andre tjenester (Credential‑Stuffing). Et enkelt læk kan dermed udløse en kædereaktion – fra e-mail over samarbejdstools til cloud-tjenester. Resultat: Datatyveri, identitetstyveri og uautoriseret adgang til virksomhedens ressourcer.

Særligt kritiske er »Basic Web Application Attacks«, hvor stjålne eller genbrugte adgangskoder dominerer – et klart tegn på, at genbrug af adgangskoder i praksis kan udnyttes umiddelbart (se kilder).

Ransomware og kontoovertagelser

Når angribere først har fået fat i gyldige adgangskoder, kan de udvide deres privilegier, bevæge sig lateralt i netværket og udrulle skadelig software – helt op til ransomware. Officielle anbefalinger understreger derfor: Eliminer genbrug af adgangskoder og aktiver phishing-resistent MFA (f.eks. FIDO2/passkeys), hvor det er teknisk muligt (CISA, NIST).

Foranstaltninger til forbedring af adgangskodesikkerheden

Retningslinjer (politik)

  • Ingen forebyggende, regelmæssige adgangskodeskift – kun påkrævet ved mistanke om eller bevis for kompromittering (NIST, NCSC).
  • Én adgangskode pr. konto/tjeneste – genbrug strengt forbudt (NIST, NCSC).
  • Forøg minimumslængden (f.eks. ≥ 14 tegn) og undgå unødvendige kompleksitetskrav; sats i stedet på længde, unikhed og spærring af »udbredte adgangskoder« (NIST).
  • Kontroller adgangskoder mod kompromitterede lister (NIST SP 800‑63B) – se praksisnotat om Password Depot nedenfor.
  • MFA obligatorisk, helst phishing-resistent (FIDO2/Passkeys), i det mindste for administrator-, fjern- og cloud-adgang (CISA).

Tekniske kontroller

  • Aktivér hastighedsbegrænsning og overvågning ved logins; identificer og bloker mistænkelige mønstre (f.eks. mange loginforsøg fra distribuerede netværk) (NIST).
  • Tillad »indsæt«, så adgangskodemanagere kan bruges sikkert – ingen forbud mod kopiering/indsætning i adgangskodefeltet (NIST).
  • Risikobaserede MFA-udfordringer og konsekvent MFA-registrering (CISA).
  • Passkeys skal indføres, hvor det er muligt; på sigt skal de erstatte adgangskodeindtastninger.
  • Identificer kompromitterede adgangskoder: Kontroller i Password Depot under Ekstra → Sikkerhedstjek → Kontroller i Pwned-adgangskoder og ændr straks de berørte poster.

Bevidsthed og drift

  • Undervis brugerne regelmæssigt i credential stuffing, phishing og genbrug af adgangskoder (NCSC/CISA).
  • Adgangskodemanager anbefales og stilles til rådighed; mål: lange, tilfældige, unikke adgangskoder for hver tjeneste.
  • Definer hændelser (lækager, phishing, malware-angreb) som udløsere for øjeblikkelig ændring af adgangskode og fornyelse af token (NIST/CISA).
Klar tekst: Genbrug er den egentlige fjende. Tvungne, regelmæssige ændringer uden grund forringer kvaliteten af adgangskoderne – og løser ikke problemet. Sats på længde, unikhed, MFA/adgangskoder og kontrol mod kompromitterede lister (f.eks. direkte i Password Depot).

Konklusion: Gentagen brug af adgangskoder udgør en betydelig sikkerhedsrisiko og fremmer kontoovertagelser og ransomware-angreb. Admin-teams skal implementere klare, aktuelle retningslinjer og sikre dem teknisk – herunder regelmæssig kontrol af kompromitterede adgangskoder med Password Depot – for at beskytte identiteter og systemer på lang sigt.

Kilder (udvalg)