Når du læser dette blog indlæg, er der en stor chance for, at du læser det på en computer, hvor du er blevet valideret ved at indtaste brugernavn og password, da du loggede på. Det er der vel ikke noget galt i - eller er der? Hvis din computer kun er fyldt med familiebilleder eller kageopskrifter kan du vel sagtens have den holdning at; hvis nogen får adgang til din computer, hvad er så det værste, der kan ske? De vil kunne se lidt billeder af familien eller din hemmelige opskrift på gulerodskage! Men hvad nu hvis der er fortrolige informationer, der ligger på din computer, eller du bare gerne vil beskytte din opskrift på gulerodskage? Så er du vel nødt til at have et brugernavn og password, som ingen kender - og da du sikkert ikke gider at skifte brugernavn hver 3 måned, så må det vel gå ud over dit password!?
Hvor sikkert er dit password?
Hvor sikkert er dit password? Er sikkerheden omkring et password baseret på længden, sammensætningen eller hvor ofte det bliver skiftet? NOGLE ville sikker mene ja, og for år tilbage ville de FLESTE sikkert mene ja. Men hvad sker der egentlig, hvis vi tvinger brugerne til at bruge lange og svære passwords, der skal skiftes ofte? Vi er jo kun mennesker, så i de fleste tilfælde bliver passwords enten skrevet ned eller konstrueret på en sådan måde, at det er relative nemt at gætte (Sommer2019 - eller hvis det skal være vildt $ommer2019) - eller endnu værre som Microsoft beskriver det:
Det er jo sandt, men hvad skal vi så gøre? Det næsten åbenlyse svar må være, at vi skal bruge to-faktor godkendelse! Om det så er ved hjælp af en app på mobilen, et fingeraftryk på computeren eller i form af en sikkerhedsnøgle (fx USB ). Uanset, hvilken løsning vi vælger, så er proceduren at brugerne skal have et brugernavn og et password (som de så skriver ned). Sikkerheden er blevet forhøjet, men brugerne skriver stadig deres passwords ned, MEN hvad nu hvis vi kan fjerne passwords fra ligningen? Hvad nu, hvis en bruger kan blive valideret ved hjælp af et brugernavn og en af de tidligere nævnte multi-factor authentication?
Password Less Authentication
Ind på scenen træder ”Password Less Authentication”. Microsoft og andre IT-virksomheder er begyndt at tage Password Less Authentication til sig, således at brugerne kan blive valideret på en sikker måde - uden brug af passwords - og dermed nemmere og endnu mere sikkert.
I praksis en meget simpel løsning, hvor det system, der skal validere brugeren, efter at have bedt om et brugernavn, springer direkte til to-trins godkendelsesdelen uden at brugeren skal indtaste sit password. På den måde eliminerer vi at brugeren skriver sit password ned og at nogle kunne ”kigge brugeren over skulderen”.
Hvis man bruger et system, der allerede nu understøtter Password Less Authentication (fx Office 365) og brugerne har sat to-trins godkendelse op på deres mobil (Microsoft Authenticator app), så er det bare et spørgsmål om at tilvælge det i appen. Herefter vil brugeren kun skulle angive sit brugernavn ved login, hvorefter resten klares med to-trins godkendelsen på mobilen.
Med udrulningen af Windows 10 opdatering (1903) begynder Microsoft at understøtte FIDO2 godkendelse, så du kan administrere adgangen til applikationer med en sikkerhedsnøgle. Og hvem ved - måske inden længe – vil du også være i stand til at logge direkte på Windows 10 med en sikkerhedsnøgle og Password Less Authentication.
Hvordan kan det gøres endnu bedre? Når vi en dag når dertil hvor alle systemer understøtter Password Less Authentication, så kunne passwords genereres med en passwordgenerator, hvormed de kan bliver så komplekse som muligt - og vi aldrig mere behøver at skulle huske og dermed ej heller for behov for at nedskrive vores passwords.
Behovet for IT-sikkerhed stiger
For ti år siden var størstedelen af de data en bruger havde adgang til placeret inden for virksomhedens fire vægge, og brugerne brugte ofte kun deres firmacomputer til at tilgå disse data. Virkeligheden nu ser meget anderledes ud. Mange virksomheder har nu data liggende ude i skyen og brugerne til går data fra mange forskellige enheder, så risikoen for at brugernes passwords (og dermed adgang til data) bliver kompromitteret er blevet mange gange større. Løsning ligger lige fremfor os og den hedder Password Less Authentication!
Jeg har altid sagt ”Et system, der er sikkert og brugervenligt - det findes ikke”. Måske tog jeg fejl?! 😊