Inför lösenordsfraser med minst 15 tecken och aldrig mer lösenordsbyten. Det var den första åtgärd Per Thorsheim fick igenom när han började som CSO på Nordic Choice Hotels i augusti 2017. Företagen har 18 000 anställda i 6 länder och finns på 210 ställen i Skandinavien.

Men Per Thorsheim förstod också att nyheten inte kommer att tas emot väl om man bara kommunicerade att alla skulle tvingas byta lösenord till ett nytt med minimum 15 teckens längd. Så han bestämde sig att berätta den goda nyheten först, nämligen att personalen samtidigt med det nya kravet på längd skulle slippa behöva byta lösenord med jämna mellanrum, en regel personalen tidigare varit tvungna att följa och avskydde.

– När vi gick ut med nyheten att man skulle slippa byta lösenord blev alla jätteglada, och sedan var det inga problem att få med att det nya lösenordet skulle vara långt, säger Per Thorsheim från scenen på Internetstiftelsens event Internetdagarna.

Regelbundna byten inte längre ett krav

Det Per Thorsheim och Nordic Choice Hotels i praktiken gjorde var att implementera standarden NIST SP800-63B som bland annat stipulerar att lösenorden ska vara minst 15 tecken långa och att regelbundna lösenordsbyten inte längre är ett krav.

– Samtidigt finns det en språklig vurpa i ordet ”lösenord”. Jag är norrman och på norska heter det ”passord” vilket antyder att lösenordet måste vara just ett enda ord, men vi var noga med att kommunicera att mellanslag är tillåtna och då blir ”passfras” från engelskans ”passphrase” ett bättre uttryck, säger Per Thorsheim.

Per Thorsheim är tydlig med hur viktigt det är att få med sig personalen, och därför använde hotellkedjans it-avdelning en strategi som gick ut på att inte införa den nya regeln för alla över en natt.

– Vår strategi var att bara byta lösenordet när det behövdes, det vill säga antingen om lösenordet kommit ut eller när användarna glömt bort det och behövde ett nytt. På så sätt blev det ett stegvis införande under en längre tid. Dessutom kan en order uppifrån om att alla omedelbart ska byta sina lösenord tolkas som ett tecken på att man blivit hackad, och det ville vi förstås undvika. Nackdelen med denna strategi är förstås att införandet tar tid, säger Per Thorsheim.

Många glömmer sina lösenord

Nordic Choice Hotels använder både Microsofts Active Directory och Googles G-Suite, och tillämpade de nya reglerna i bägge systemen. Ett annat stort system inom organisationen är ett tidrapporteringssystem som många anställda använder. En del anställda kanske bara använder en dator på jobbet i samband med tidrapporteringen varje vecka eller till och med bara varje månad. Då är det inte underligt att många glömmer sina lösenord.

Vissa har även fått möjligheten att logga in med tvåfaktorsautentisering tillsammans med sms, en lite udda metod.

– Jag vet att det inte är den mest optimala tvåfaktorsautentiseringen, men det är definitivt bättre än ingenting. Men det fungerar inte för alla, till exempel de som arbetar i lobbyn på ett hotell och måste ha ett delat konto för att kunna jobba effektivt. Vi har även testat med hårdvarunycklar, men våra designers har envisats med att datorerna i lobbyn ska vara av den typen med datorn inbyggd i en stor skärm och att hela skärmen ska synas, säger Per Thorsheim.

Problemet med detta val är att skärmens usb-portar är exponerade på baksidan av skärmen mot gästen. Dels kan en gäst dra ut nyckeln och det blir lite väl krångligt för lobbypersonalen att sträcka sig till skärmens baksida varje gång de ska röra vid nyckeln. I stället testas att införa nycklar med fingeravtrycksläsare som kan sitta tillgänglig för lobbypersonalen och är obrukbara för tjuven om de stjäls.

För att få gehör för sin strategi att implementera NIST SP800-63B räknade Per Thorsheim ut att varje supportärende som rör lösenord tar ungefär en arbetstimme att lösa och han kunde visa att antalet supportärenden skulle minska.

Allt färre ärenden för varje år

– Det tog inte lång tid innan antalet ärenden minskade. Vi toppade med som mest 3800 ärenden med ”lösenord” i rubriken eller texten under 2017, och sedan dess har antalet ärenden minskat varje år. 3800 ärenden är alltså lika många timmar i förlorad tid för – både personalen som har problem med lösenordet och för it-personalen. 2018 blev det drygt 3200 ärenden och hittills i år är vi nere på strax under 2200 ärenden, samtidigt som antalet anställda under samma period har ökat, säger Per Thorsheim.

Samtidigt med införandet av minst 15 tecken i lösenordet, eller rättare sagt lösenfrasen, infördes OpenPasswordFilter för att automatiserat kontrollera att personalen inte valde de enklaste och mest använda lösenorden. Enligt it-säkerhetsgurun Cormac Herley bör en organisation filtrera bort de 1000 till 10 000 vanligaste lösenorden.

– Men eftersom vi införde en minsta längd på 15 tecken hade vi i realiteten redan löst detta problem. Med 15 tecken är det inte många av ens de 10 000 vanligaste lösenorden som är kvar, säger Per Thorsheim.

Läs också:
Säker inloggning i molnet utan lösenord – vi testar säkerhetsnyckel till Office 365
Twitter rullar ut tvåfaktorsautentisering utan krav på mobilnummer