Passwords and GDPR | Nexus Group

Lösenord + GDPR = stor risk för regelbrott

EU:s nya dataskyddsförordning (GDPR) förbjuder inte autentisering med bara användarnamn och ett statiskt lösenord – men den förbjuder användningen av alltför svagt skydd av känslig information om EU-medborgare, skriver Bjørn Søland, teknisk expert på identitets- och säkerhetsföretaget Nexus Group.

GDPR kräver att organisationer gör riskbedömningar, och om en bedömning visar att användning av användarnamn och ett statiskt lösenord som autentiseringsmetod inte kommer att leda till problem är det okej att använda lösenord.


Ladda ner e-bok: IT-säkerhet 2018 – data och insikter


Lösenord kommer bli förbjuda av GDPR

Till exempel kan ett (mycket opraktiskt) scenario vara att mjukvaran som hanterar känslig information om EU-medborgare installeras lokalt på en dator utan internetanslutning som är inlåst i ett rum med mycket god fysisk accesskontroll.

Men i den överväldigande majoriteten av verkliga situationer ger lösenord en låg nivå av säkerhet, och är därför förbjudna, enligt GDPR.

Det ska bli intressant att se hur organisationer kommer göra sina riskbedömningar och vilka slutsatser de kommer fram till när det gäller användning av lösenord – och vilka bedömningar revisionsorganen kommer att göra. Enligt min mening bör organisationer inte riskera regelbrott genom att använda lösenord – särskilt inte eftersom att det nu finns så många andra skäl att byta till tvåfaktorsautentisering (2FA).

Läs blogginlägg 9 skäl till att dina användare kommer att älska din organisation för att ni säger hejdå till lösenord

1FA + 1FA blir INTE 2FA

Och för er som inte tänker på säkerheten dagligen vill jag understryka att ett plus ett inte alltid är lika med två i säkerhetsaritmetik. Autentisering med användarnamn och ett statiskt lösenord (enfaktorsautentisering, 1FA) för inloggning till datorn och sedan ytterligare ett lager av 1FA för inloggning till systemet med känslig information om EU-medborgare är inte lika 2FA. Det kanske inte verkar självklart för alla, men 1FA + 1FA = 1FA.

Det är redan obligatoriskt att skydda molntjänster som innehåller känslig information om personer med 2FA och vi på Nexus hjälper organisationer med det här dagligen. Det har också gett oss en god kunskap om hur inloggningssituationen ser ut för både molntjänster och lokala tjänster; och låt mig uttrycka det så här: både vi och alla organisationer som hanterar känslig information om EU-medborgare kommer att ha mycket att göra fram till den 25 maj 2018.

Bjørn Søland, teknisk expert på Nexus.

Ladda ner e-boken: IT-säkerhet 2018 - data och insikter

Publicerad 29/3 2018

Nyheter, kundberättelser och blogg