Striktare lösenord gav färre supportärenden

Publicerad: 26 november, 2019 närbild på dator och ett par händer som skriver på tangentbordet

Krav på minst 15 tecken i anställdas lösenord minskar risken att lösenordet är för vanligt eller enkelt, och därmed ökar säkerheten. Foto: Monthira/Shutterstock.com

Nordic Choice Hotels har infört en standard med längre lösenord som inte behöver bytas. Resultatet har blivit färre supportärenden om glömda eller läckta lösenord, vilket sparar in värdefull arbetstid för hotellkedjan, skriver Techworld.

I augusti 2017 implementerade Nordic Choice Hotels standarden NIST SP800-63B för sina lösenord. Det innebär att lösenorden måste bestå av minst 15 tecken, och sedan aldrig behöver bytas.

Per Thorsheim arbetar som CSO på hotellkedjan och var den som beslutade om lösenordsreglerna. Han räknade med att personalen inte skulle uppskatta att ha så långa lösenord. Däremot var alla glada över att slippa byta ut lösenordet regelbundet, berättade han på Internetdagarna, ett event som anordnades av Internetstiftelsen.

Fördelar med längre lösenord och färre byten

På Nordic Choice Hotels är det vanligt att användare glömmer sina lösenord. En del personal använder nämligen bara datorer någon gång i veckan eller månaden när de ska lämna en tidrapport. Av den anledningen är det positivt att slippa lösenordsbyte.

Angående lösenordens längd poängterar Per Thorsheim att ordet ”lösenord” egentligen är missvisande. I själva verket kan man använda mellanslag och på så sätt använda fraser i stället för enstaka ord som lösenord.

I samband med implementeringen infördes också en automatiserad kontroll av lösenordet, för att inte användaren ska välja alltför enkla och vanliga lösenord. Men i och med kravet på 15 tecken eller mer var detta problem i princip redan löst, enligt Per Thorsheim.

– Med 15 tecken är det inte många av ens de 10 000 vanligaste lösenorden som är kvar.

Bytte ut lösenorden steg för steg

Som strategi införde de lösenordsbytet bara när det behövdes, det vill säga antingen när användarna glömde sina lösenord eller om lösenorden kommit ut. Detta tar visserligen längre tid, men man undviker å andra sidan att ge användaren bilden av att företaget har blivit hackat.

En del användare har fått möjlighet att använda tvåfaktorsautentisering, där man även använder sms för att logga in. Dock fungerar det inte för alla på företaget, till exempel i hotellens lobbyer där personalen behöver ha delade konton. Där testar man i stället fingeravtrycksläsare som extra säkerhetsåtgärd.

Sparade in 3 800 timmars supporttid 2017

Enligt Per Thorsheim tar det ungefär en timmes arbete att lösa ett supportärende som gäller lösenord. Sedan NIST SP800-63B infördes blev det snabbt färre ärenden i den frågan. Som högst var det 3 800 lösenordsärenden under 2017, och antalet har minskat varje år sedan dess.

– 3 800 ärenden är alltså lika många timmar i förlorad tid – både för personalen som har problem med lösenordet och för it-personalen, säger Per Thorsheim.