Per Thorsheim, mannen bak PasswordsCon, la 29. desember ut ein tweet der han gjentok sine tidlegare utsagn; «I predict that people who predict the death of passwords next year will fail with their prediction”. Sjølv kor mange gode løysningar marknaden har kome med, så er framleis passordet eit naudsynt vonde du ikkje kjem unna.
Delar av artikkelen vart først publisert 21. januar 2023 på Digi.
Eg har sjølv ein tanke for det komande året; eg trur 2023 vil innehalde passord-lekkasjar og tilhøyrande ID-tyveri og svindel. Noko det siste innbrotet hjå Lastpass er eit godt døme på. Ein vanleg brukar, som freistar å følgje dei tilrådinga ein skal, endar opp med eit passordkvelv – enten i form av digitalt, så som Lastpass, Bitwarden eller 1Password, eller å skrive dei ned på eit ark og lagre dette på ein trygg stad.
Med dei siste hendingar, er arket det tryggaste alternativet?
Er passordet daudt?
Eg vil delvis gå imot Per sine utsegn; passordet er nok ikkje daudt, men det er ein daudande art. Og mykje kan gjerast på vegen mot den passordfrie verda, som gjer kvardagen til brukaren både betre OG TRYGGARE.
Diverre er kostnaden knyta til passordlaust framleis for høg til at det aktuelt for den private brukar.
Regla om autentisering
Kva er alternativet til passord? I regla om autentisering (noko du er, har, veit, gjer) er passordet faktoren du veit. Har er kodebrikke, sikkerheitsnøkkel, kode eller app på tlf., er er biometri og gjer er framferd. Når du fjerna det eine leddet må dette erstattast med noko anna, til dømes ein av dei andre faktorane så som framferda til brukaren; kvar dei pleier å logge inn frå, at utstyret dei brukar er det same som sist gong, at applikasjonane er dei same osv. På denne måten fjernar du ikkje eit autentiseringsledd, du berre brukar ein annan faktor for å gjere det enklare for brukaren.
Passordlaust (eller moderne autentisering) er ikkje noko du implementerer over natta for alt og alle. Dette er noko du gjer i fasar, der du legg til fleire og fleire applikasjonar, tenesta og ikkje minst brukara:
- Ta i bruk MFA
- Innfør SSO
- Auk tilliten du gjev brukaren
- Erstatt bruken av passord med andre autentiseringsmetodar
1. Ta i bruk Multifaktorautentisering (MFA)
Om du ikkje allereie brukar MFA (Multi Faktor Autentisering), GJER DET NO!! Det finnast ikkje ein einaste god grunn eller unnskyldning for å ikkje gjere det. «Det er for dyrt»: det kosta Stortinget «berre» 2 millionar å IKKJE aktivere det. «Det er for vanskeleg»: har me ikkje brukt BankID i Noreg i 18 år? Alle som i dag er i arbeidslivet har brukt MFA tidlegare i livet.
Det er viktig at du vel ei MFA-løysning som passar inn i resten av reisa du skal på. I Conscia jobbar me mykja saman med Cisco, og Cisco sin MFA-løysning er Cisco DUO. Løysninga har ein rekke funksjonalitetar og kan kjøpast i 4 ulike lisensutgåver; Free, MFA, Access og Beyond.
Cisco Duo har gjort det enkelt å sjå kva lisensutgåve du må ha utifrå kva funksjonalitet du er på utkikk etter: https://duo.com/editions-and-pricing
2. Innfør SSO
Når MFA er vel innført for alle brukara og applikasjonar er du klar for neste steg på vegen – nemleg SSO (Single Sign On). Ein god del applikasjonar, og då spesielt sky-applikasjonar, støttar allereie SAML-autentisering. Cisco DUO kan ta rollen som Identity Provider eller OpenID Connect (OIDC) Provider som mogleggjer integrasjon mot eksisterande løysningar som Microsoft Active Directory eller Google Apps kontoar. Aktiver dette der det er mogleg.
For dei applikasjonane, skybaserte eller onpremise, som ikkje støttar dette – kan ein ta i bruk ta i bruk autentiseringsproxy og straumlineform applikasjonsflyen slik at SSO og vert mogleg her. Alternativt kan ein ta i bruk Cisco DUO sin eigen Duo Central. Dette er eit dashboard kor brukar loggar inn (med brukarnamn, passord og MFA) og har Single Sign On vidare derifrå.
3. Auk tillita du kan gje brukaren
Så langt har du gjort det tryggare for selskapet ved å aktivere MFA, og enklare for brukaren ved å tilby SSO.
Men du er ikkje i mål – passordet er framleis der. Neste steg er å auke graden av tillit du kan gje brukaren.
Dette kan du gjere ved å legge til informasjon om brukar, om eining (både den einingen som ber (PC) om autentisering samt den einingen som gjer (mobil) autentiseringa), lokasjon, oppførsel og meir. Ved å gjere dette, får du ein baseline på kva som er normal oppførsel for dei ulike brukarane dine, samt om einingane deira er oppdatert og sikra jamfør policy i selskapet.
4. Erstatt passord med andre autentiseringsmetodar
ENDELEG er du klar til å ta steget mot passordlaust. No gjev du brukaren moglegheit til å registrere TouchID, FaceID, Microsoft Hello eller andre biometriske autentiserings-metodar eller sikkerheitsnøklar, så som Yubikey. Sjølve onboardinga er det brukaren sjølv som gjennomfører:
1. Gje brukaren tilbodet
2. Gje brukaren dei alternativa du støttar
3. Cisco DUO vil gjennomføre knytninga
Påloggingsflyten vert då;
1. Brukaren oppgjev sitt brukarnamn
2. Neste vindauge vil be om biometri eller sikkerheitsnøkkel
3. og brukaren er autentisert. UTAN å skrive passord eller MFA (i form av push, pin eller liknande).
Dersom det no skulle inntreffe endringar i lokasjon, stad, eining etc som gjer at du (løysninga) vert usikker på om brukaren er den vedkommande utgjev seg å vera – så kan du be om verifisering ved å falle attende til dei «gode gamle MFA-variantane».
Er du då komen i mål?
Sjølv om du no er komen dit at brukarane dine kan oppleva ein passordlaus kvardag på jobb, så er du langt frå mål. Ikkje fordi det er eit definert neste steg på reisa, men fordi arbeidet med sikkerheit er ei kontinuerleg reise der målet til ein kvar tid er forbetring.
Så eg vil du skal ta med deg nettopp det – all sikkerheit, om målet er passordlaus kvardag, sikrare brukara eller betre kontroll, er ei reisa. Ei reisa med fleire stogg undervegs, der du nyt utsikta (og tek i mot skryt) før du studera kartet og set kompasskursen til neste stogg.
Er passordet daudt? Neppe – passordet kjem til å vera med oss LENGE. Men du kan gjere det betre og sikrare for både deg og brukaren ved å legge til rette og velje gode løysningar.
Inntil skrivekløen ikkje let seg stagga att – ha ein strålande og trygg dag vidare!