Per Thorsheim, mannen bak PasswordsCon, la 29. desember ut ein tweet der han gjentok sine tidlegare utsagn: «I predict that people who predict the death of passwords next year will fail with their prediction.» Sjølv kor mange gode løysningar marknaden har kome med, så er framleis passordet eit naudsynt vonde du ikkje kjem unna.
Eg har sjølv ein tanke for det komande året; eg trur 2023 vil innehalde passord-lekkasjar og tilhøyrande ID-tyveri og svindel. Noko det siste innbrotet hjå Lastpass er eit godt døme på. Ein vanleg brukar, som freistar å følgje dei tilrådingane ein skal, endar opp med eit passordkvelv – enten i form av digitalt, så som Lastpass, Bitwarden eller 1Password, eller å skrive dei ned på eit ark og lagre dette på ein trygg stad.
Med dei siste hendingar, er arket det tryggaste alternativet?
Er passordet daudt?
Eg vil delvis gå imot Per Thorsheim sine utsegn. Passordet er nok ikkje daudt, men det er ein daudande art. Og mykje kan gjerast på vegen mot den passordfrie verda, som gjer kvardagen til brukaren både betre og tryggare.
Diverre er kostnaden knyta til passordlaust framleis for høg til at det aktuelt for den private brukar.
Regla om autentisering
Kva er alternativet til passord? I regla om autentisering (noko du er, har, veit, gjer) er passordet faktoren du veit. Har er kodebrikke, sikkerheitsnøkkel, kode eller app på telefonen, er er biometri og gjer er framferd. Når du fjernar det eine leddet, må dette erstattast med noko anna, til dømes ein av dei andre faktorane, så som framferda til brukaren; kvar dei pleier å logge inn frå, at utstyret dei brukar er det same som sist gong, at applikasjonane er dei same og så vidare. På denne måten fjernar du ikkje eit autentiseringsledd, du berre brukar ein annan faktor for å gjere det enklare for brukaren.
Passordlaust (eller moderne autentisering) er ikkje noko du implementerer over natta for alt og alle. Dette er noko du gjer i fasar, der du legg til fleire og fleire applikasjonar, tenester og ikkje minst brukarar:
- Ta i bruk MFA (multifaktorautentisering)
- Innfør SSO (Single Sign On)
- Auk tilliten du gjev brukaren
- Erstatt bruken av passord med andre autentiseringsmetodar
Ta i bruk multifaktorautentisering (MFA)
Om du ikkje allereie brukar MFA, GJER DET NO! Det finst ikkje ein einaste god grunn eller unnskyldning for å ikkje gjere det. «Det er for dyrt»: Det kosta Stortinget «berre» 2 millionar å IKKJE aktivere det. «Det er for vanskeleg»: Har me ikkje brukt BankID i Noreg i 18 år? Alle som i dag er i arbeidslivet, har brukt MFA tidlegare i livet.
Det er viktig at du vel ei MFA-løysning som passar inn i resten av reisa du skal på.
Innfør SSO
Når MFA er vel innført for alle brukarar og applikasjonar, er du klar for neste steg på vegen – nemleg SSO. Ein god del applikasjonar, og då spesielt sky-applikasjonar, støttar allereie SAML-autentisering (Security Assertion Markup Language). Aktiver dette der det er mogleg. For dei applikasjonane, skybaserte eller on-premise, som ikkje støttar dette – ta i bruk autentiseringsproxy og straumlineform applikasjonsflyten slik at SSO og vert mogleg her.
Auk tilliten du kan gje brukaren
Så langt har du gjort det tryggare for selskapet ved å aktivere MFA, og enklare for brukaren ved å tilby SSO.
Men du er ikkje i mål – passordet er framleis der.
Neste steg er å auke graden av tillit du kan gje brukaren.
Dette kan du gjere ved å legge til informasjon om brukar, om eining (både den einingen som ber (PC) om autentisering samt den einingen som gjer (mobil)-autentiseringa), lokasjon, oppførsel og meir. Ved å gjere dette får du ein baseline på kva som er normal oppførsel for dei ulike brukarane dine, samt om einingane deira er oppdatert og sikra jamfør policy i selskapet.
Erstatt passord med andre autentiseringsmetodar
Endeleg er du klar til å ta steget mot passordlaust. No gjev du brukaren moglegheit til å registrere TouchID, FaceID, Microsoft Hello eller andre biometriske autentiseringsmetodar eller sikkerheitsnøklar, så som Yubikey. Påloggingsflyten vert då: Brukaren oppgjev sitt brukarnamn, neste vindauge vil be om biometri eller sikkerheitsnøkkel, og brukaren er autentisert. UTAN å skrive passord eller MFA (i form av push, pin eller liknande).
Dersom det no skulle inntreffe endringar i lokasjon, stad, eining, etc., som gjer at du (løysninga) vert usikker på om brukaren er den vedkommande utgjev seg for å vera – så kan du be om verifisering ved å falle attende til dei «gode gamle MFA-variantane».
Er du då komen i mål?
Sjølv om du no er komen dit at brukarane dine kan oppleva ein passordlaus kvardag på jobb, så er du langt frå mål. Ikkje fordi det er eit definert neste steg på reisa, men fordi arbeidet med sikkerheit er ei kontinuerleg reise der målet til ein kvar tid er forbetring.
Så eg vil du skal ta med deg nettopp det – all sikkerheit, om målet er passordlaus kvardag, sikrare brukara eller betre kontroll, er ei reisa. Ei reisa med fleire stogg undervegs, der du nyt utsikta (og tek imot skryt) før du studerar kartet og set kompasskursen til neste stogg.
Er passordet daudt? Neppe – passordet kjem til å vera med oss LENGE. Men du kan gjere det betre og sikrare for både deg og brukaren ved å legge til rette og velje gode løysingar.
Inntil skrivekløen ikkje let seg stagga att – ha ein strålande og trygg dag vidare!
Lastpass: Innbrudd hos passord-tjeneste var verre enn fryktet
