Know-how / Passordsikkerhet

Identiske passord: Risikoene ved gjenbruk av passord

Én innlogging kompromittert – alle tilganger i fare.

IT-administratorer bærer hovedansvaret for å beskytte systemer og data. En særlig vedvarende risiko er identiske eller gjenbrukte passord. Dermed åpner brukere – ofte utilsiktet – døren på vidt gap for angripere når det gjelder credential stuffing, kontovertakelser og laterale bevegelser i nettverket. Studier viser at bruk av stjålne tilgangsdata er blant de vanligste initialvektorene ved sikkerhetshendelser (se kilder nedenfor).

Bruk aldri det samme passordet for ulike kontoer.
Ingen påtvungne, regelmessige passordbytter uten grunn – bruk i stedet lange, unike passord/passfraser og MFA/Passkeys.
Nye og eksisterende passord kontrollere mot kompromitterte lister; i Password Depot: Ekstra → Sikkerhetssjekk → Kontroller i Pwned-passord.

Risiko for kompromittering på tvers av tjenester

Hvis en konto kompromitteres, tester angripere automatisk de samme påloggingsopplysningene på andre tjenester (Credential‑Stuffing). Én enkelt lekkasje kan dermed utløse en kjedereaksjon – fra e‑post og samarbeidsverktøy til Cloud‑tjenester. Resultatet er datatyveri, identitetsmisbruk og uautorisert tilgang til virksomhetens ressurser.

Særlig kritiske er «Basic Web Application Attacks», der stjålne eller gjenbrukte påloggingsopplysninger dominerer – et tydelig tegn på at gjenbruk av passord er direkte utnyttbart i praksis (se kilder).

Ransomware og konto-overtakelser

Når angripere først har gyldige påloggingsopplysninger, kan de utvide privilegier, bevege seg lateralt i nettverket og rulle ut skadevare – helt opp til distribusjon av ransomware. Offisielle anbefalinger understreker derfor: Eliminer gjenbruk av passord og phishing-resistent MFA (f.eks. FIDO2/Passkeys) aktiveres der det er teknisk mulig (CISA, NIST).

Tiltak for å forbedre passordsikkerheten

Retningslinjer (policy)

Ingen preventive, regelmessige passordbytter – håndhev det bare ved mistanke om eller påvist kompromittering (NIST, NCSC).
Ett passord per konto/tjeneste – gjenbruk skal være strengt forbudt (NIST, NCSC).
Øk minimumslengden (f.eks. ≥ 14 tegn) og unngå unødvendige kompleksitetskrav; sats i stedet på lengde, unikhet og blokkering av «vanlige passord» (NIST).
Kontroller passord mot kompromitterte lister (NIST SP 800–63B) – se praksismerknaden om Password Depot nedenfor.
MFA er obligatorisk, helst phishing-resistent (FIDO2/Passkeys), i det minste for admin-, fjern- og Cloud-tilganger (CISA).

Tekniske kontroller

Rate-Limiting og overvåking aktiveres ved pålogginger; oppdag og blokker mistenkelige mønstre (f.eks. mange påloggingsforsøk fra distribuerte nettverk) (NIST).
Tillat «Paste»/innliming, slik at passord-managere kan brukes på en sikker måte – ingen forbud mot copy/paste i passordfeltet (NIST).
Risikobaserte MFA-utfordringer og konsekvent MFA-registrering skal håndheves (CISA).
Passkeys bør innføres der det er mulig; passordinntasting bør på sikt erstattes.
Identifiser kompromitterte passord: I Password Depot via Extras → Sikkerhetssjekk → Kontroller mot Pwned-passord og endre berørte oppføringer umiddelbart.

Praksis med Password Depot:

Åpne Ekstra → Sikkerhetssjekk → Sjekk mot Pwned-passord, for å kontrollere lagrede passord mot kompromitterte lister.
Utfør denne sjekken regelmessig – særlig etter offentlige datalekkasjer eller phishing-hendelser.
Bytt ut markerte passord umiddelbart med lange, unike passfraser og aktiver, der det er mulig, MFA/Passkeys.

Bevissthet og drift

Gi brukere regelmessig opplæring i Credential-Stuffing, phishing og gjenbruk av passord (NCSC/CISA).
Passordadministrator anbefales og gjøres tilgjengelig; mål: lange, tilfeldige, unike passord for hver tjeneste.
Definer hendelser (lekkasjer, phishing, malware-infeksjoner) som utløsere for umiddelbar passordendring og fornyelse av token (NIST/CISA).

Kort sagt: Gjenbruk er den egentlige fienden. Påtvungne, regelmessige bytter uten konkret grunn svekker kvaliteten på passordene – og løser ikke problemet. Sats på lengde, unikhet, MFA/Passkeys og kontroll mot kompromitterte lister (f.eks. direkte i Password Depot).

Konklusjon: Gjenbruk av passord er en betydelig sikkerhetsrisiko og øker faren for konto-overtakelser og helt opp til ransomware-hendelser. Admin-team må implementere klare, oppdaterte retningslinjer og sikre dem teknisk – inkludert regelmessig kontroll av kompromitterte passord med Password Depot – for å beskytte identiteter og systemer på lang sikt.

Kilder (utvalg)

NIST SP 800–63B: Retningslinjer for digital identitet – lagrede hemmeligheter (bl.a. ingen tvungne bytter; kontroll mot kompromitterte lister; tillat innliming)
CISA «Secure Our World»: Bruk sterke passord (anbefaling om passordadministratorer og unike passord)
NCSC (UK): Problemer med å kreve regelmessig utløp av passord & Advarsel om credential stuffing
Verizon DBIR: Rapportside & Executive Summary (oppdateres årlig)
Have I Been Pwned: Pwned Passwords (offentlig datakilde for kompromitterte passord)

Hold passord unike

Finn ut hvordan Password Depot hjelper deg med å administrere hvert passord unikt og sikkert.

Tips for sikre passord