Använder ni fortfarande lösenord och kräver då och då att dessa lösenord byts? Då ingår ni i listan över de mest osäkra företagen. Lösenord är idag en falsk trygghet och innebär en stor säkerhetsrisk.
Lösenordsteknik är ett dåligt skydd av flera anledningar. Tänk exempelvis på följande:
- Lösenord i en organisation skrivs ofta ner på post-it-lappar och delas med kollegor. Kan man verkligen veta vem det är som loggar in?
- Den typiske användaren använder ofta samma eller liknande lösenord för flera tjänster. Det gör det lättare att komma ihåg dem, men försämrar IT-säkerheten. Om det sker ett intrång i en privat molntjänst som Dropbox, är då era lösenord säkra?
- Lösenorden bygger ofta på privata egenskaper. Det kan handla om namnet på ens barn eller husdjur, eller något särskilt årtal. Hur svårt är det att ta reda på den här informationen?
- När lösenord skapas väljer användare gärna ett återkommande mönster eller sekventiella lösenord, exempelvis Sommar2018, Höst2018, Vinter2019. Då räcker det att veta ett tidigare lösenord för att kunna gissa nästa.
Ökad risk vid lösenordsbyte
Periodiska byten av lösenord rekommenderas inte längre av säkerhetsorganisationer, eftersom det har visat sig göra mer skada än nytta. Det handlar dels om att sekventiella lösenord – som bygger på personliga egenskaper och är lätta att gissa – blir vanligare om användaren kontinuerligt behöver byta lösenord.
Periodiska lösenordsbyten leder också till fler tidskrävande och kostsamma ärenden till supporten. Användare som väljer mer komplexa och svårgissade lösenord glömmer tyvärr också lätt bort dem.
Ökad risk för läckta lösenord
De senaste åren har fler lösenord än någonsin hackats eller stulits. Både privatpersoner och företag har blivit utsatta för den här typen av attacker. Ingen är helt säker, även stora etablerade bolag som Yahoo, Dropbox och LinkedIn har råkat för incidenter som resulterat i hundratusentals stulna lösenord.
I takt med att vi använder allt fler molntjänster ökar också risken för att personuppgifter, känslig data och identiteter kapas av illasinnade hackare. Användare väljer gärna samma lösenord för flera tjänster, så när en hackare får tillgång till ett av användarens lösenord är sannolikheten stor att hen får tillgång till flera av användarens konton.
Många av de stora och mest kända intrången har skett via social interaktion. Hackaren skapar en relation för att användaren ska avslöja lösenord, eller information som i sin tur avslöjar lösenordet.
Men vad händer om det inte finns några lösenord att hacka? Vad händer om det inte finns några lösenord för användaren att komma ihåg? Vad händer om vi slutar använda lösenord helt och hållet?
Det nya lösenordet: användaren själv
I framtiden kommer vi inte använda traditionella lösenord som vi gör idag. Ett alternativ till osäkra lösenord är biometrisk inloggning. Detta innebär att man använder sin egen person för att logga in. Windows Hello for Business är en tjänst som möjliggör inloggning genom antingen fingeravtryck och ansiktsigenkänning. Idag används dessa metoder som komplement till traditionella lösenord. För att använda Windows Hello for Business behöver datorn konfigureras, för att logga in på andra datorer eller direkt i molntjänster används fortfarande de traditionella lösenorden.
Framtiden är password-less
Många av de stora molnleverantörerna satsar idag på password-less inloggning. Ett exempel är Microsoft, som alldeles nyligen startade en public preview av hur framtidens inloggning kan se ut. Microsofts nya app Authenticator låter användaren logga in genom att bekräfta inloggningen med hjälp av en annan enhet. På detta sätt läggs en ytterligare nivå av säkerhet på, och kan användas antingen i kombination med ett vanligt lösenord, eller utan lösenord.
Microsofts Authenticator fungerar på följande sätt:
- Användaren anger sitt användarnamn och visas då ett nummer.
- Användaren startar Authenticator-appen och bekräftar det nummer som visas.
- Nu är användaren inloggad!