Sårbarheter
Lösenord är även sårbara för en rad olika attacker såsom:
- Phishing: Hackare lurar användare att avslöja sina lösenord via falska webbsidor eller e-postmeddelanden.
- Brute force-attacker: Hackare testar miljontals lösenordskombinationer tills de lyckas.
- Credential stuffing: Angripare använder stulna inloggningsuppgifter från en dataläcka för att logga in på andra tjänster där användare återanvänt samma lösenord.
Under de senaste 10 åren har mängden lösenord som en genomsnittlig användare måste hantera ökat dramatiskt, samtidigt som kraven på lösenordens styrka har skärpts. Detta har i sin tur medfört att återanvändning av lösenord och användning av svaga lösenord som skapar säkerhetsrisker, vilket har lett till ett ökat behov av flerfaktorsautentisering och verktyg såsom lösenordshanterare.
Blir det säkrare och effektivare av att ha en komplex lösenordspolicy där man tvingar användaren att byta lösenord var ofta? Nej, jag tror inte det. Det slutar ofta med att man återanvänder lösenord mellan system. Ett annat vanligt problem är att glömmer lösenord till system man inte loggar in i ofta och får börja sin inloggning med en lösenordsåterställning, för att överhuvudtaget komma in.
Räcker det inte med flerfaktorsautentisering?
Flerfaktorautentisering är ett stort steg på vägen och risken minskar för kompromettering med 99.9% för identitetsattacker, förutsatt att det används korrekt. Men detta skydd är för de allra flesta på bekostnad av användarupplevelsen - och så ska det inte behöva vara. Det ska också nämnas att SMS - den vanligaste autentiseringsmetoden - är 40 % svagare än andra autentikatorer vid användande av flerfaktorsautentisering.
Rekommendationen vid flerfaktorsautentisering är att använda starka autentiseringsmetoder såsom hård/mjukvaru-nycklar, appar eller en av de andra starkare autentiseringsmetoderna. Oavsett metod är ändå lösenordet den svagaste i länken. Från användarnas perspektiv lägger på ytterligare ett extra lager vid inloggning, så varför blir vi inte "passwordless", för att få en effektivare, säkrare och mer användarvänlig inloggning?
"Hackers don't break in - they log in,"
/Bret Arsenault, Chief Information Security Officer på Microsoft
Vad betyder "passwordless"?
Att vara "passwordless" innebär att användare inte längre behöver ange ett traditionellt lösenord för att logga in på sina konton eller tjänster. I stället använder man alternativa autentiseringsmetoder som är både säkrare och enklare att hantera. Dessa metoder kan inkludera:
- Biometrisk autentisering: Fingeravtryck, ansiktsigenkänning eller irisskanning.
- Säkerhetsnycklar: Fysiska enheter som FIDO2-nycklar eller YubiKeys.
- Engångskoder och push-notiser: Genererade via appar som Microsoft Authenticator eller skickade direkt till mobilen.
- Certifikat: Inloggning inkluderar ett certifikat som slutanvändaren/applikationen använder.
Passwordless bygger på en eller flera i kombination av:
- Något du är (biometri)
- Något du har (en säkerhetsnyckel eller telefon)
- Något du vet (en pin-kod eller liknande).
Fördelar med passwordless autentisering
Starkare säkerhet
Lösenordsfria metoder erbjuder en betydligt högre säkerhetsnivå än traditionella lösenord. Biometrisk autentisering, till exempel, är unik för varje individ och kan inte stjälas eller kopieras på samma sätt som ett lösenord kan. Säkerhetsnycklar skyddar också mot phishing, eftersom de inte fungerar på en falsk webbplats.
Minskad risk för dataintrång
Genom att eliminera lösenord minskar man drastiskt risken för phishing-attacker och andra former av identitetsstöld. Utan lösenord finns det ingen känslig information för hackare att stjäla via sådana attacker. Passwordless bygger som sagt på flerfaktorsautentisering (kombination av något du är, har eller vet), vilket gör det ännu svårare för obehöriga att få tillgång till konton.
Bättre användarupplevelse
Användare upplever passwordless som en mycket smidigare upplevelse. Att slippa komma ihåg och skriva in lösenord eller genomgå krångliga återställningsprocesser förbättrar både produktiviteten och användarnöjdheten. Biometriska lösningar som ansiktsigenkänning eller fingeravtryck ger en snabb och problemfri inloggning, medan säkerhetsnycklar eller push-notiser erbjuder enkel åtkomst via en mobiltelefon eller fysisk nyckel.
Effektivare hantering för verksamheter
Verksamheter spenderar ofta stora resurser på att hantera användares lösenord, särskilt när användare glömmer dem eller fastnar i inloggningsprocessen. Genom att övergå till passwordless-autentisering kan IT-avdelningar minska kostnader för support och förbättra den övergripande säkerheten. Dessutom är lösenordsfria lösningar mer kompatibla med moderna säkerhetsstrategi som Zero Trust, där användare och enheter kontinuerligt bör verifieras.
Efterlevnad av säkerhetsregler
Många regler och lagar, såsom GDPR, kräver att organisationer skyddar användardata på ett adekvat sätt. Lösenord är ofta en stor säkerhetsrisk, och att gå över till passwordless kan hjälpa organisationer att uppfylla dessa krav genom att minska sannolikheten för att känslig information läcker ut vid ett dataintrång.
Passwordless och framtidens säkerhet
I takt med att tekniken för passwordless-autentisering utvecklas och blir mer tillgänglig, kommer fler organisationer och användare att anamma dessa metoder. Standarderna, som FIDO2, gör det möjligt för webbsidor och appar att stödja säkra, lösenordsfria inloggningar. Teknikjättar som Microsoft, Google och Apple har redan börjat integrera passwordless-lösningar i sina plattformar, och fler företag följer efter.
Framtiden för cybersäkerhet ser ut att vara lösenordsfri. Med ökad säkerhet, minskade administrativa kostnader och en enklare användarupplevelse finns det starka argument för att detta är vägen framåt. För att möta de växande digitala hoten behöver vi en säkerhetslösning som inte bygger på lösenord – och passwordless är den lösningen.
Så låt oss göra framtiden lösenordsfri – och på så vis säkrare. PS: Vill du ses och prata mer om lösenordsfria framtidsscenarion, och hur du optimerar din onboarding för nyanställda? Varmt välkommen på vårt event - Identity Access Management - Så optimerar du din onboarding för nyanställda - den 26 november.