Identiske passord: Risikoen ved gjentatt bruk av passord

Én pålogging hacket – alle tilganger i fare.

IT-administratorer bærer hovedansvaret for å beskytte systemer og data. Et særlig vedvarende risiko er identiske eller gjenbrukte passord. Dermed åpner brukerne – ofte utilsiktet – døren for angripere som kan utføre credential stuffing, kontoovertakelser og laterale bevegelser i nettverket. Studier viser at bruk av stjålne påloggingsopplysninger er en av de vanligste innledende faktorene i sikkerhetshendelser (se kilder nedenfor).

Risiko for omfattende kompromittering

Hvis en konto blir kompromittert, tester angripere automatisk de samme påloggingsopplysningene på andre tjenester (Credential‑Stuffing). En enkelt lekkasje kan dermed føre til en kjedereaksjon – fra e-post til samarbeidsverktøy og skytjenester. Resultat: Datatyveri, identitetstyveri og uautorisert tilgang til bedriftens ressurser.

Spesielt kritiske er «Basic Web Application Attacks», der stjålne eller gjenbrukte påloggingsopplysninger dominerer – et klart tegn på at gjenbruk av passord i praksis kan utnyttes umiddelbart (se kilder).

Ransomware og kontoovertakelser

Når angripere først har gyldige tilgangsdata, kan de utvide privilegier, bevege seg lateralt i nettverket og rulle ut skadelig programvare – helt opp til å distribuere ransomware. Offisielle anbefalinger understreker derfor: Eliminer gjenbruk av passord og aktiver phishing-resistent MFA (f.eks. FIDO2/Passkeys) der det er teknisk mulig (CISA, NIST).

Tiltak for å forbedre passordsikkerheten

Retningslinjer (policy)

  • Ingen forebyggende, regelmessige passordendringer – kun ved mistanke om eller bevis for kompromittering (NIST, NCSC).
  • Ett passord per konto/tjeneste – strengt forbud mot gjenbruk (NIST, NCSC).
  • Øk minimumslengden (f.eks. ≥ 14 tegn) og unngå unødvendige kompleksitetskrav; sats i stedet på lengde, unikhet og sperring av «vanlige passord» (NIST).
  • Sjekk passord mot kompromitterte lister (NIST SP 800‑63B) – se praksisnotat om Password Depot nedenfor.
  • MFA obligatorisk, helst phishing-resistent (FIDO2/Passkeys), i det minste for administrator-, fjern- og skytilgang (CISA).

Tekniske kontroller

  • Aktiver hastighetsbegrensning og overvåking ved pålogging; gjenkjenn og blokker mistenkelige mønstre (f.eks. mange påloggingsforsøk fra distribuerte nettverk) (NIST).
  • Tillat «lim inn» slik at passordbehandlere kan brukes sikkert – ingen forbud mot kopiering/liming inn i passordfeltet (NIST).
  • Risikobaserte MFA-utfordringer og konsekvent MFA-registrering (CISA).
  • Passkeys der det er mulig; erstatt passordinntasting på sikt.
  • Identifiser kompromitterte passord: Kontroller i Password Depot via Ekstra → Sikkerhetskontroll → Sjekk i Pwned-passord og endre berørte oppføringer umiddelbart.

Bevissthet og drift

  • Gi brukerne regelmessig opplæring i credential stuffing, phishing og gjenbruk av passord (NCSC/CISA).
  • Passordmanager anbefales og stilles til rådighet; mål: lange, tilfeldige, unike passord for hver tjeneste.
  • Hendelser (lekkasjer, phishing, malware-angrep) defineres som utløsere for umiddelbar passordendring og token-fornyelse (NIST/CISA).
Klartekst: Gjenbruk er den egentlige fienden. Tvangsmessige, regelmessige endringer uten grunn forringer kvaliteten på passordene – og løser ikke problemet. Sats på lengde, unikhet, MFA/passnøkler og kontroll mot kompromitterte lister (f.eks. direkte i Password Depot).

Konklusjon: Gjentatt bruk av passord er et betydelig sikkerhetsrisiko og fremmer kontoovertakelser og til og med ransomware-hendelser. Administrasjonsteam må implementere klare, oppdaterte retningslinjer og sikre dem teknisk – inkludert regelmessig kontroll av kompromitterte passord med Password Depot – for å beskytte identiteter og systemer på en bærekraftig måte.

Kilder (utvalg)