1. Effektiv sikring mot phishing og passordlister
Phishing har til hensikt å lure offeret til å gi fra seg sensitiv informasjon, og da gjerne kombinasjonen av brukernavn og passord. Alternativt kan angriperen bruke passordlister som er til salgs for en billig penge fra tidligere kompromitterte tjenester, og satse på at den ansatte bruker det samme passordet på flere tjenester.
Disse angrepsformene ligger i utgangspunktet utenfor IT-avdelingens kontroll. Førstelinje i forsvaret mot phishing er kompetanse, bevissthet og årvåkenhet hos alle ansatte. Likevel er det regelmessig noen som biter på.
Erstatt passord med en sterkere autentiseringsfaktor
Angrep basert på passordlister har sitt opphav i at mange gjenbruker passordene sine. Dermed eksponerer de bedriftens ellers sikre tjenester. Det er rett og slett for mange muligheter for passord å komme på avveie. Erstattes passord med en sterkere autentiseringsfaktor som eksempelvis å benytte den ansattes mobiltelefon, er dette en effektiv sikring mot de vanligste angrepsformene.
2. Mer brukervennlig MFA-løsning
For å bøte på passordets iboende usikkerhet har det blitt vanlig å kompensere med multifaktorautentisering (MFA). På den måten stoler autentiseringen ikke lenger bare på noe brukeren vet (passordet). Nå behøver den også noe brukeren har som eksempelvis en mobiltelefon. Enda sterkere sikkerhet oppnås ved å legge til en tredje faktor; noe brukeren er. Altså å involvere en biometrisk faktor – eksempelvis et fingeravtrykk, ansikt eller øye.
Utfordringen er at MFA gjerne påvirker brukervennligheten. Den ansatte går fra å kun måtte skrive inn brukernavn og passord, til i tillegg å måtte logge inn med engangskode eller godkjenne med fingeravtrykk. Dette er upraktisk og spesielt irriterende på en mobilenhet i tilfelle feilstaving – da må man gjennom prosessen en gang til. For å ikke belaste de ansatte mer enn nødvendig balanserer IT derfor sikkerhetsbehovene opp mot organisasjonens risikovillighet.
Erstatt passord med en mer brukervennlig autentiseringsfaktor
Hvis den ansatte i stedet for passord logger på med noe vedkommende har, eksempelvis en mobiltelefon, vil det være en langt sikrere løsning enn å stole på et usikkert passord. Om det i tillegg er behov for å legge til rette for multifaktorautentisering, bør en legge til kontroll med noe ytterligere den ansatte har eller er. Uansett alternativ vil det være langt sikrere og mer brukervennlig uten passord.
3. Sømløs brukeropplevelse
En sikker autentisering kan kreve så lite som et fingeravtrykk på mobilen. Aldri mer glemte eller feilstavede passord. Rett og slett en briljant og sømløs brukeropplevelse.
Løsningen kombinerer noe brukeren har, tilgang til mobilen, og noe den er, nemlig fingeravtrykket. Det er altså en mye sterkere tofaktorautentisering enn en som bygger på passord - og krever kun én handling fra brukeren. Sekvens og valg av autentiseringsfaktor tilpasses bedriftens behov. For eksterne brukere vil man kunne sende en engangskode som SMS, eller en "magic link" til brukerens e-post.
4. Redusert behov for brukerstøtte
For bedre sikkerhet har organisasjoner innført tiltak for å tvinge frem bruk av komplekse passord. De må eksempelvis ha minimum lengde, inneholde spesialtegn i tillegg til at de må endres fra tid til annen. Alt dette har forbedret sikkerheten, men har samtidig gjort det mer krevende for de ansatte. De komplekse passordene er vanskelig å huske, noe som øker antallet stengte kontoer som brukerstøtte må gjenåpne.
Omfanget av passordrelaterte henvendelser til support korrelerer med opplevd kompleksitet på brukersiden. Med andre ord er en gammeldags løsning ikke bare til besvær for de ansatte, men utgjør også en betydelig kostnadsdriver. En passordfri autentiseringsløsning øker derimot bedriftens produktivitet og reduserer supporthenvendelsene.
5. Mer tid til annet enn administrasjon av passordregler
Organisasjoner bruker mye tid på å dokumentere, administrere, lære opp og sikre overholdelse av bestemmelsene for bruk av komplekse passord. Ansatte må sette seg inn i reglene, og i noen bedrifter må dette også bekreftes formelt. IT må sikre at regelverket rundt passordstyring til enhver tid er oppdatert, og sørge for at det fungerer med alle systemer. Uten passord trengs heller ikke forvaltning av passordregler, og tiden kan brukes til mer produktive oppgaver.
