451 Research: En ny lösenordshanteringsrapport för säkerhetsmästare

Eftersom ökningen av distans- och hybridarbete ökar vårt beroende av teknik, står företag inför fler säkerhetsutmaningar under 2022 än någonsin tidigare. Redan före den globala övergången till en distansarbetskraft hade anställda som arbetar i företag vanligtvis åtkomst till många olika konton som används för frågor som CRM, leveranskedja, ekonomi, samarbete, e-post och meddelanden. Förekomsten av flera företagskonton har öppnat dörren för cyberbrottslingar och oavsiktliga intrång på grund av lösa lösenordsvanor.

Forsknings- och rådgivningsföretaget 451 Research, en del av S&P Global Market Intelligence, beställde nyligen en global studie för att förstå preferenser för företagslösenordshantering och användningstrender. Studien, som tillfrågade seniora företagssäkerhetsbeslutsfattare i USA, Storbritannien, Japan och Australien, undersökte användningsfall, utgiftsmönster och känslor hos lösenordshanterare, standarder och adoption. Rapporten fungerar som en viktig resurs för företagssäkerhetsmästare som förstår att förlorade eller lätt komprometterade lösenord på flera företagskonton kan vara oerhört skadligt. Eftersom yrkesverksamma aktivt försöker minska riskerna i dagens sammanlänkade värld ger resultaten av undersökningen förståelse och vägledning för aktuella trender.

Enligt den senaste rapporten 451 Research Voice of the Enterprise (VoTE) Budgets & Outlook 2021, förväntade 86 % av företagen att öka sina årliga säkerhetsbudgetar. Nästan alla (93 %) av företagsrespondenterna sa att de bibehöll eller ökade sina budgetar för lösenordshantering och en majoritet (76 %) av de tillfrågade sa att lösenordshanteringen var utplacerad eller planerades att användas på grund av problem med att arbeta hemifrån.

På frågan från 451 Research vilken personal som ansågs vara de mest riskabla användarna hänvisade respondenterna – som själva kommer från roller inom IT och säkerhet – tredje part och distanspersonal. På frågan om lösenordspolicyer sa 80 % att lösenordspolicyer är tillräckligt skydd för deras organisation. Enligt 57 % av alla tillfrågade är förbättring av slutanvändarnas beteende fortfarande en pågående ansträngning mot bättre lösenordshanteringsmetoder.

Mindre än hälften (41 %) av de tillfrågade sa att de inte granskar för lösenordsstyrka eller återanvändning. Över hälften (56 %) av de tillfrågade sa att lösenordsåterställningar/lösenordshantering utgör mellan 20-60 % av alla förfrågningar från helpdesk.
Företagsapplikationer erbjuder i allt högre grad multi-factor authentication (MFA), såsom OTP (One Time Passwords), e-postverifieringskoder, SMS eller biometriska faktorer. Nästan alla (96 %) av de tillfrågade är bekanta med dessa autentiseringsverktyg, men över hälften (55 %) sa fortfarande att lösenord är allestädes närvarande. Single-sign-on (SSO) har också gjort framsteg hos företag: 49 % av de tillfrågade sa att 34–66 % av deras appar och inloggningar omfattades av deras SSO-lösning.

Figur 1: Huvudskälen för att använda lösenordshanteraren

Totalt sett använde 57 % av de tillfrågade lösenordshantering och ytterligare 15 % sa att de skulle anta lösenordshantering. På frågan om de viktigaste skälen till att anta lösenordshanterare vann effektiviteten över bekvämligheten. I USA angav ungefär hälften (51 %) av de tillfrågade att "förebygga autentiseringsstöld/kontoövertagande attacker" som det främsta skälet till att anta lösenordshanterare. Globalt sett var den främsta prioriteringen "bedrägeribekämpning", som citerades av 51 % av de tillfrågade (och en motivering som var näst mest populär i USA). Tidsbesparande och färre samtal till helpdesk var av lägre prioritet, både i USA och globalt.

Enligt 58 % av de tillfrågade hade intern icke-IT-personal distribuerats till eller var bredvid att distribuera lösenordshantering - högsta prioritet, även om tredje part och fjärrpersonal anses vara en högre risk.

Figur 2: Riskgrupper - Utplacerade grupper för lösenordshantering

Användningen av lösenordshantering är relativt stark. Men det kan vara starkare och mer utbrett. Det finns några strategier för att göra detta möjligt.

Till att börja med bör användningen av lösenordshanteraren kombinera personliga och affärsmässiga användningsfall för att driva adoption. Enligt undersökningen sa 47 % av de tillfrågade att företaget borde tillhandahålla verktyg för anställda både hemma och på jobbet och 59 % skulle föredra ett lösenordshanteringsverktyg för både personliga och företagslösenord.

Användarupplevelsen spelar också roll. Medan hårda säkerhetsresonemang (antibedrägeri, förhindrande av identitetsstöld) driver lösenordsantagande, valde respondenterna användarupplevelse (29 %) och hanteringskomplexitet (36 %) som de största strävandena mot framgångsrik implementering av lösenordshanteraren. Att förhindra säkerhetsincidenter bör alltid vara en primär drivkraft för implementering av lösenordshanteraren, men det betyder inte att företagssäkerhetsbeslutsfattare inte bör överväga att förbättra användarupplevelsen. En dålig slutanvändarupplevelse kommer sannolikt att leda till slarviga metoder och återanvändning av lösenord.

Företag bör också se till att risken står i proportion till utbyggnaden. Personalen med högst risk bör följa policyerna för lösenordshantering. Det bästa sättet att utföra detta är att ta fram en lösenordshanteringsplan som är lätt att anta. I slutändan förblir framgångsrik lösenordshanterarens acceptans bland mer riskfylld personal avgörande för att fylla upplevda exponeringsluckor.

Undersökningen genomfördes i samarbete med 451 Research (en division inom S&P Global). Företaget undersökte 400 yrkesverksamma i USA, Storbritannien, Australien och Japan.

Läs hela 451 Research Password Management-undersökningsresultaten

Kom igång idag! Intresserad av att komma igång med Bitwarden direkt? Aktivera ditt team med en gratis provperiod för en Teams- eller Enterprise-organisation.