Lösenordet har dött – länge leve lösenordet?

Den 29 december twittrade PasswordsCons skapare Per Thorsheim: ”Jag förutspår att människor som förutspår lösenordets död nästa år kommer att misslyckas med sin förutsägelse”. Trots alla lösningar som marknaden har levererat ser han fortfarande lösenordet som ett nödvändigt ont. Själv tror jag inte heller att lösenord har dött men att det är döende. 

Min egen tanke inför det kommande året är att 2023 kommer att innebära lösenordsläckor med  tillhörande ID-stöld och bedrägeri. Det senaste intrånget på Lastpass är ett bra exempel på det. En vanlig användare, som följer alla gängse råd, samlar på sig en enorm samling lösenord på digitala platser såsom Lastpass, Bitwarden eller 1Password eller nedskrivna på pappersark.

”Med tanke på den senaste tidens händelser: är pappersarket den säkraste platsen för ditt lösenord?”

Har lösenordet dött?

Jag kommer delvis argumentera mot Pers tweet: lösenordet har förmodligen inte dött, men det är döende. Och mycket kan göras för att ta oss till den lösenordsfria värld som gör vardagen för användarna både bättre OCH TRYGGARE. När det handlar om privata användare är kostnaden för lösenordsfria tjänster emellertid fortfarande för hög.

Autentiseringsmöjligheter

Vad är alternativet till lösenord? När det gäller autentisering (något du är, har, vet, gör), är lösenordet den faktor du vet. Kodchip, säkerhetsnyckel, kod eller app på din telefon är något du har. Biometri är något du är och beteende är något du gör. Om lösenordet försvinner måste det ersättas med något annat, till exempel användarens beteende, normal inloggningsplats, utrustning, applikation etc. Istället för att ta bort en autentiseringslänk använder man en annan faktor gör livet lättare för användaren.

Lösenordslös (eller modern) autentisering är inget du implementerar över en natt för allt och alla. Det är något som sker i etapper, där man adderar fler och fler applikationer, tjänster och inte minst användare:

  1. Gå över till MFA
  2. Introducera SSO
  3. Öka användarnas förtroendenivå
  4. Ersätt lösenordet med andra autentiseringsmetoder
Ladda ned kostnadsfritt Conscia whitepaper: Så inför du MFA multi-faktor autentisering av Björn Videnberg
Ladda ned kostnadsfritt whitepaper

1. Gå över till Multi Factor Authentication (MFA)

Om du inte redan använder MFA (Multi Factor Authentication), GÖR DET NU!! Det finns inte en enda bra anledning eller ursäkt till att inte göra det.

”Det är för dyrt”: det kostade norska Stortinget ”bara” 2 miljoner att INTE aktivera det. ”Det är för svårt”: har jag inte använt BankID i 18 år nu? Alla som arbetar idag har använt MFA någon gång i livet.

Det är viktigt att du väljer en MFA-lösning som passar din kommande resa. På Conscia arbetar vi mycket med Ciscos MFA-lösning som heter Cisco DUO. Lösningen har ett antal funktioner och kan köpas i de fyra licensversionerna Free, MFA, Access och Beyond.

Cisco Duo har gjort det enkelt att avgöra vilken som passar dig bäst baserat på vilken funktionalitet du letar efter: https://duo.com/editions-and-pricing

2. Introducera SSO

Med MFA för alla användare och applikationer är du redo för nästa steg  – närmare bestämt SSO (Single Sign On). Ett stort antal applikationer, och molnapplikationer i synnerhet, stöder redan SAML-autentisering. Cisco DUO kan ta rollen som Identity Provider eller OpenID Connect (OIDC) Provider som gör integration med befintliga lösningar såsom Microsoft Active Directory eller Google Apps-konton möjlig. Aktivera detta där det går.

https://conscia.com/no/wp-content/uploads/2023/01/picture1-1.png

För applikationer –  molnbaserade eller on-premise –  som inte stöder detta kan du använda autentiseringsproxy och effektivisera applikationsplanet för att göra SSO möjlig också här. Alternativt kan du använda Cisco DUO:s egen Duo Central. Det är en instrumentpanel där användaren loggar in (med användarnamn, lösenord och MFA) för att sedan få Single Sign On.

3. Öka användarnas förtroendenivå 

Hittills har du ökat företagets säkerhet genom att aktivera MFA och gjort livet enklare för användarna med SSO.

Men ännu är du inte framme – lösenordet finns fortfarande kvar. Nästa steg är att öka användarnas förtroendenivå.

Det kan du göra genom att addera information om användaren och enheten – både enheten (PC) som ber om autentisering och enheten (mobil) som genomför autentiseringen. Det kan vara i form av fysisk plats, beteende med mera. Det här ger dig en baslinje över användarens normala beteende. Det blir också lättare att se om enhetern är uppdaterade.

4. Ersätt lösenord med andra autentiseringsmetoder

ÄNTLIGEN är du redo att ta steget mot lösenordsfritt. Nu ger du användaren möjlighet att registrera TouchID, FaceID, Microsoft Hello eller andra biometriska autentiseringsmetoder alternativt säkerhetsnycklar, såsom Yubikey. Själva onboarding utförs av användaren själv:

1. Ge användaren ett erbjudande

2. Tillhandahåll de alternativ du stödjer

3. Cisco DUO kommer att utföra anslutningen

Inloggningsflödet blir då:

  1. Användaren anger sitt användarnamn
  2. Nästa fönster frågar efter biometri eller säkerhetsnyckel
  3. användaren är autentiserad UTAN varken lösenord eller MFA (i form av push, pin eller liknande).

Om det sker förändringar av plats, ort, enhet etc. som gör dig (lösningen) osäker på om användaren är rätt person kan du begära verifiering genom att falla tillbaka till ”gamla goda MFA-varianten”.

Har du nått ett arbetsliv utan lösenord nu?

Även om du nu har nått den punkt där dina användare kan uppleva ett lösenordsfritt arbetsliv är du fortfarande långt från målet. Inte för att det finns ett definierat nästa steg på resan utan för att arbetet med säkerhet är en kontinuerlig resa där målet vid varje given tidpunkt är förbättring.

Så jag vill att du tar med dig att all säkerhet, oavsett om målet är en lösenordsfri vardag, säkrare användare eller bättre kontroll, är en resa. En resa med flera stopp längs vägen, där du njuter av utsikten (och är stolt) innan du studerar kartan och tar ut kompassriktning mot nästa stopp.

Är lösenordet dött? Sannolikt inte – lösenordet kommer att finnas hos oss under lång tid. Men du kan göra det bättre och säkrare för både dig och användaren genom att välja bra lösningar.

Tills skrivlusten sätter in igen önskar jag dig en en strålande och trygg framtid! Varmt välkommen att prata lösenord med oss på Conscia!

Kontakt 

Delar av artikeln publicerades första gången den 21. januar 2023 på Digi.

 Vill du veta mer? Missa inte Conscias webinar om säker autentisering:

 

Kontakta oss!
Svar inom 24h