
Nå er det på tide å droppe passordet
KOMMENTAR: Det er ingen grunn til at du ikke skal ha en passord-fri hverdag, skriver Owe Imerslund-Kvisler.
Hvor mange ganger har du glemt passordet ditt? Hvor mange ganger må du enten ringe brukerstøtte eller gå gjennom en lengre prosess med å endre passordet selv ved å svare på spørsmål som «Hva het det første kjæledyret til din beste venns lærer på barneskolen mens du opplevde din første forelskelse?»
Hvor mange ganger har du lest i nyhetene at en tjeneste har hatt innbrudd, og at lekkede brukernavn og passord ligger tilgjengelig for alle på internett? Da får man gjerne litt panikk og sjekker Have I Been Pwned før man må gjennom prosessen med å endre passordet.
Jeg kan bare snakke for meg selv, men jeg er veldig lei dette. Kan jeg ikke bare slippe det?
Jo, det kan jeg! Vel, i det minste hos Microsoft, der passordløs pålogging er en realitet for alle oss som bruker Azure AD for å autentisere brukere.
Det å slippe alt bryderiet med å endre passord, er selvfølgelig ikke den eneste gevinsten. Ved å benytte passordløs pålogging økes også sikkerheten. Passord skrives ikke ned på gule lapper, gjenbrukes eller sendes over nettverket så de kan stjeles av ondsinnede aktører. Passordløs pålogging er også sikrere ved at det benytter flere faktorer for å logge deg inn. Både enheten og din PIN eller ansikt/fingeravtrykk er separate faktorer.
Hvordan virker det?
Det finnes flere ulike metoder for passordløs pålogging i Microsoft-miljøer: Windows Hello for Business, FIDO2-nøkler og Microsoft Authenticator App.
Mange bedrifter har allerede tatt i bruk Microsoft Authenticator App, men ikke for passordløs pålogging. Noen har også kanskje tatt i bruk Windows Hello for Business, som er et distribuert system som benytter flere komponenter for registrering, provisjonering og autentisering.
Med Windows Hello for Business kan brukerne logge seg på med en kombinasjon av biometri (fingeravtrykk, ansikt eller annet) og en PIN-kode. Det gir ikke bare økt sikkerhet ved at du unngår at brukerne med vilje velger svake passord for å klare å huske dem, eller skriver ned passordene på gule lapper. Det gjør også hverdagen mye enklere for brukerne.
Den andre løsningen jeg vil nevne er Microsoft Authenticator. Med Microsoft Authenticator App kan brukerne logge inn med en hvilken som helst Azure AD-konto uten å bruke passord. Appen er nøkkel-basert og brukerens legitimasjon er knyttet til en enhet som kan benytte PIN-kode eller biometri (fingeravtrykk eller Face ID).
Involver brukerne
Som alle andre endringer som påvirker brukeropplevelsene direkte bør passordfri pålogging planlegges godt og testes sammen med en gruppe brukere som vil være ambassadører. Det er viktig å involvere brukerne, og ikke bare tre noe nytt ned over hodene på dem. Selv om en passordfri hverdag neppe er noe mange brukere kommer til å protestere mot.
Det er også viktig å påpeke at passordløs pålogging i seg selv ikke er løsningen på alle bedriftens sikkerhetsutfordringer. Det bør kombineres med Conditional Access Policies i Azure for eksempel ved å sjekke at enheten som brukes for Windows Hello for Business møter bedriftens krav eller lovpålagte krav, altså at den er «compliant».
Dersom bedriften krever sterkere autentisering, er det mulig å definere flere faktorer for å logge inn. Ved pålogging med en bruker som har administratorroller kan man også kreve flere faktorer, som PIN, en FIDO2-nøkkel, et kjent IP-nett eller en blåtann-enhet. Det er viktig å konfigurere passordløs pålogging med eventuelle flere faktorer og frekvens i henhold til lovpålagte krav og bedriftens behov. Dette kan løses med Conditional Access policy, enten globalt eller for den enkelte applikasjon hvor det stilles ekstra krav til hvor ofte MFA skal benyttes.
Lykke til med en passordfri hverdag!
Owe Imerslund-Kvisler, systemarkitekt i Sicra