Passwords, et vigtigt værktøj, som både privatpersoner og virksomheder stoler på for at få adgang til deres dagligt brugte tjenester, er meget afskyet af cybersikkerheds eksperter. De er modvilligt accepteret som den mest effektive og universelt omfavnede sikkerheds foranstaltning, der er tilgængelig i øjeblikket.

På trods af de negative erfaringer forbundet med passwords, er IT-sikkerheds industrien og digitale platforme stærkt afhængige af dem. Cybersecurity and Infrastructure Security Agency og National Institute of Standards and Technology understreger vigtigheden af ​​stærke adgangskoder og password administratorer som grundlæggende anbefalinger.

"Jeg hader passwords. De er ineffektive, og vi har for længe måttet udholde dem," Chris Morales, CISO for Netenrich

I løbet af de sidste par måneder har Cybersecurity Dive undersøgt CISO'er, sikkerhedsfokuserede ledere og trusselsintelligens analytikere for at indsamle indsigt i, hvordan de håndterer deres adgangskoder.

IT sikkerheds magasinet Cybersecurity Dive har spurgt 7 T sikkerheds eksperter hvordan de beskytter deres password. Det er der kommet nogle ret interessant svar ud af. Læs med her:

Michael Sikorski, CTO og VP for Threat Intelligence hos Palo Alto Networks Unit 42:

Sikorski bruger password managers. "Jeg kan ikke engang fortælle dig, hvad min adgangskode er til min Netflix-konto eller min bankkonto," sagde Sikorski.

"Det er et gigantisk, tilfældigt genereret kodeord, som jeg ikke engang kender. Så selv med en pistol mod mit hoved, er det eneste, du kan gøre, at få mig til at låse min password manager op, men du kommer ikke til at få den adgangskode fra mig, for jeg kender den ikke engang. Og derfor genbruger jeg det ikke, og du kan ikke bare nulstille det."

Sikorski sagde, at han også har multifaktorgodkendelse slået til for at understøtte det.

Chris Morales, CISO hos Netenrich:

"Jeg kender ikke nogen af ​​mine adgangskoder, “because they all suck,” sagde Morales.

Han bruger Microsoft Authenticator, og det har forstærket ham i at stoppe med overhovedet at benytte passwords.

"Dybest set, så inden dette år er slut så vil jeg ikke bruge passwords længere," sagde Morales.

"Jeg har to-faktor-autentificering på for alt. Jeg har altid - alle mine personlige konti, samt arbejdskonti, alt er to-faktor autentificeret" Chris Morales, CISO hos Netenrich

Jaya Baloo, CSO hos Rapid7:

"Jeg har personligt været en af ​​first moverne på brugen af password managers,” siger Baloo, for ca. 10 år siden startede jeg allerede med at bruge dem. "Jeg har altid været paranoid, hvilket jeg tror er noget der følger med arbejdet.”

Lige siden 2012, hvor Baloo flyttede ud af professionelle tjenester og blev CSO, har hun været meget påpasselig med sin hardware, adgangskoder og hvordan hendes data opbevares.

De foranstaltninger, Baloo har truffet for at holde sit digitale live sikkert, ville ikke være simpelt for ikke-sikkerheds interesserede individer at implementere, men det er ikke længere tilfældet, sagde hun.

Matthew Prince, CEO og medstifter af Cloudflare:

Lederen af ​​Cloudflare bruger password manegeren Keeper, samt fysiske adgangsnøgler med Cloudflare Access, et produkt med zero-trust til netværksadgang.

“Ærligt talt, så er det væsentligt nemmere og bedre at bruge en adgangskodeadministrator, der er godkendt med en hardware nøgle, end at skulle grave din telefon frem og lede efter, du ved, den tekstbesked, der bliver sendt til dig, eller at skulle huske adgangskoder."

Chester Wisniewski, CTO for forskning hos Sophos:

"Jeg har personligt et YubiKey-token, og jeg bruger det til alt," sagde Wisniewski.

"Jeg gemmer mine adgangskoder i Bitwarden. Jeg kan godt lide Bitwarden. Jeg bruger ikke deres cloud-tjeneste. Jeg har min egen hostede løsning, som jeg bruger og beskytter på min egen lille måde. Jeg bruger Bitwarden som enhver anden person ville med et browser-plugin og autoudfylder mine adgangskoder på de rigtige steder, og jeg bruger min YubiKey til at låse min adgangskodeboks op."

IT-sikkerhedsveteranen sagde, at fysiske adgangsnøgler viser reelt potentiale til at være en game changer. Adgangsnøgler som YubiKey eliminerer behovet for endnu et token, men "det har desværre en smule kompleksitet på implementeringssiden, der kan bremse det," sagde Wisniewski.

John Dwyer, forskningschef hos IBM Security X-Force:

"Jeg bruger en password manager, men jeg bruger ikke en cloudbaseret. Jeg bruger en lokal, der er sikkerhedskopieret på en anden krypteret harddisk. Og det flytter jeg bare rundt med mig overalt,” sagde Dwyer.

"Jeg har endnu ikke accepteret risikoen ved at bruge en cloud-udbyder til som password manager, så jeg gør bare den manuelle indsats for altid at have min adgangskode-opbevaring tilgængelig for mig. Men jeg ved at der er en risiko, at jeg kan miste adgangen harddisken eller min live-kopi.