Det råder ingen tvekan om att lösenord är den sämsta formen av autentisering av ett användarkonto. Det är troligen väldigt få av oss som skulle acceptera att vår bank enbart avkrävde oss ett simpelt lösenord för att komma åt våra pengar.

Samma tankesätt borde råda inom resten av it-världen också. Nätfiske efter lösenord är fortfarande ett gissel som drabbar många företag och it-brottslighet inklusive ransomware omsätter idag mer pengar än vad droghandeln gör i världen. Lösenord är så pass enkla att gissa eller lura av en användare gör att den borde diskvalificeras som säkerhetsmekanism.

Lösenord på väg bort

Om du använder Office 365 så använder du den molnbaserade katalogtjänsten Azure AD för lagring och hantering av dina användarkonton. Förhoppningsvis använder du redan minst tvåfaktorsautentisering i form av lösenord och autentiseringsapp i telefonen men det finns utmärkta möjligheter att arbeta helt utan lösenord i denna katalogtjänst och om du använder klienter baserade på Windows 10 så kan det hela dessutom göras synnerligen bekvämt för användaren. I detta fall kan alltså äntligen säkerhet och bekvämlighet gå hand i hand.

Microsofts Stefan van der Wiele meddelade på konferensen Cloud Identity Summit 2020 att man helt kommer att kunna slå av lösenord som autentiseringsmetod i Azure AD under våren 2021, en mycket välkommen nyhet som medför att lösenord inte kan användas alls. Redan idag går det utmärkt att med GPO konfigurera dina Windowsklienter så att de inte accepterar lösenord vilket är bra för att avvänja dina användare från att använda lösenord, men först när katalogtjänsten inte längre innehåller några lösenord alls är målet helt uppnått.

– Lösenord är en allt för svag form av autentisering, ett arv från datorernas begynnelse och en teknik som bjuder in till distansbaserade attacker. Lösenord är inte en säkerhetslösning designad för dagens uppkopplade och molnbaserade vardag. Jag är övertygad om att framtiden är lösenordsfri, säger Daniel Chronlund, säkerhetsexpert på molnföretaget Altitude 365.

Fyra metoder

Men vilka metoder för autentisering är det då som finns tillgängliga om du inte vill använda lösenord? Det finns fyra sätt för att kunna komma ifrån problemet med lösenord i Azure AD, alla med sina egna för- och nackdelar.

1. Windows Hello for Business

Denna metod använder sig av en funktion som är inbyggd i Windows 10 som heter Windows Hello for Business. Det är en extremt säker metod för validering som bygger på certifikathantering i TPM-chipp i din dator. Själva inloggningen är dessutom synnerligen bekväm om du har en modern laptop eller webbkamera, eftersom du då kan använda biometrisk inloggning i form av fingeravtryck eller ansiktsigenkänning.

Dina biometriska data lagras enbart på den lokala enheten och kan bara användas för att logga in på just den, vilket betyder att denna lösning passar bäst i de fall där en användare har en egen personlig dator och inte byter dator ofta under arbetsdagens lopp. Fördelen med denna lösning är att den är extremt säker och dessutom mycket snabb och bekväm att använda. Nackdelen är att inloggningen är låst till en viss fysisk enhet.

– Windows Hello for Business är en säkerhetsfunktion för Windows 10 som gör det möjligt att logga in med ditt Azure AD-konto i Windows med hjälp av något du är, exempelvis med ditt ansikte eller fingeravtryck, eller något du vet, en pin-kod. Den fysiska datorn blir i det här fallet en andra faktor. Således behövs inget traditionellt lösenord, säger Daniel Chronlund.

2. FIDO2

Fast IDentity Online version 2 (FIDO2) är en säkerhetslösning i form av en hårdvarunyckel som stoppas in i din dator, ofta i usb-porten, och används för autentisering. Vid konfigurationen av nyckeln paras den ihop med ditt användarkonto och samtidigt lagras information om vilken sajt kontot kan användas med vilket gör FIDO2 resistent mot mer avancerade phishingattacker som exempelvis EvilGinx2.

Inloggning med säkerhetsnyckel.

Fördelen med denna lösning är att den är extremt säker och att du kan ta med dig nyckeln mellan olika enheter. Nackdelen är att den kan tappas bort eller brytas av och kan vara komplicerad eller omöjlig att använda utan usb-port.

– Dessa nycklar ger en stark och säker inloggning med flera faktorer. Dels så måste du såklart ha tillgång till den fysiska nyckeln som måste vara ansluten till din enhet, och dels så måste du vid godkännande fysiskt röra vid nyckeln för att låsa upp den, säger Daniel Chronlund.

3. Authenticator Passwordless

Du använder kanske redan idag appen Authenticator för tvåfaktors autentisering tillsammans med ditt lösenord. Det är en okej lösning, men det går att ta steget längre och använda samma app för lösenordsfri inlogging. Om din telefon är registrerad i Azure AD och du har en pin-kod på den så kan funktionen aktiveras (om administratören godkänt metoden i Azure AD).

– Det innebär i praktiken att lösenordsfrågan aldrig dyker upp vid inloggning mot Azure AD-anslutna tjänster. Istället så plingar det till i din app och där godkänner du inloggningen i samma anda med något du är eller något du vet, säger Daniel Chronlund.

Nästa gång du ska logga in i Azure AD kommer du att få ange ditt loginnamn och därefter kommer två siffror att visas på skärmen. I samma stund kommer en fråga att dyka upp i appen där du ska välja samma siffror och du blir då inloggad. Fördelen är att det är enkelt och billigt att införa och ger god säkerhet. Nackdelen är att du trots allt kan luras till att logga in en hackare eftersom du får upp en fråga i appen enbart baserat på att någon försöker logga in som dig.

4. Sms-baserad autentisering

Detta är en ganska ny metod som bygger på sms-meddelanden. Du loggar in genom att ange ditt telefonnummer istället för ditt loginnamn och du får då ett sms med en kod skickad till telefonen, du anger koden och blir inloggad. Nackdelarna är här flera: Eftersom denna metod inte kan garantera att två faktorer används så räknas den inte som flerfaktorsinloggning och uppfyller alltså inte det kravet om du ställer ett sådant på användaren i Azure AD. Den använder dessutom en gammal metod (sms) som kan attackeras på olika sätt.

Denna metod får alltså räknas som en av de svagare avseende säkerhet, även om den är lösenordsfri. Det är ju dessutom möjligt för administratörer i olika Azure AD-miljöer att ange samma telefonnummer vilket resulterar i en fråga till användaren vilket konto han vill logga in på vilket kan bli förvirrande för användaren och inget du som administratör kan lösa. Denna metod känns alltså av flera skäl lite tveksam. Fördelen är att det trots allt leder till att lösenordet inte behöver användas.

Måste aktiveras

Authenticator Passwordless och sms-baserad autentisering är idag förhandsversioner men väntas bli skarpa inom kort. Windows Hello och FIDO2 är supportade lösningar redan idag. Har du ADFS kommer den inte att användas vid lösenordsfri inloggning, utan autentisering sker enbart mot Azure AD. Men du kan fortfarande välja att använda lösenord om du vill och då startas det vanliga flödet mot ADFS.

För att du ska kunna använda de lösenordsfria inloggningsalternativen så behöver dessa aktiveras av en administratör i Azure AD. Dessa metoder kan aktiveras för alla eller för en viss grupp av personer.

När detta är klart så behöver användaren registrera sin FIDO2-säkerhetsnyckel eller aktivera lösenordsfri inloggning i Authenticatorappen. Det går utmärkt att ha många olika autentiseringsmetoder samtidigt på ett konto. I fallet med FIDO2-nyckel så går det fint att ha flera olika konton registrerade på samma nyckel och man kan också ha flera olika nycklar kopplade till samma konto.

Om Windows Hello for Business ska användas så behöver användaren registrera sin biometriska information innan det hela fungerar. Det är alltså sannolikt att du behöver utbilda personalen kring dessa nya säkerhetsmetoder för att allting skall fungera smidigt. Administratören behöver också ange hur Windows Hello ska användas och vilka metoder som ska vara tillåtna.

Enligt Daniel Chronlund växer intresset generellt för lösenordsfri inloggning.

– Bland våra kunder har man framför allt anammat Windows Hello for Business. Intresset för Microsoft Authenticator och FIDO2 växer snabbt och allt fler kunder vill titta närmare på tekniken, vilket känns jättekul. Dock känner jag att många fortfarande är rädda för resan dit. Man antar att det kommer bli krångligt och att det ställer höga krav på våra användare. Men så behöver det alls inte vara. Visst blir det en ny inloggningsprocess för användarna men den är absolut inte krångligare än en BankID-inloggning, och det vet vi ju redan att vi svenskar är världsbäst på.

Olika säkerhetsnivåer

Som vi sade initialt så får lösenord anses vara den svagaste länken avseende kontosäkerhet. Det är värt att sträva efter att införa någon av de metoder vi beskrivit för att helt eliminera lösenord på sikt, men du kan inte förlita dig på enbart lösenord för något konto utan behöver minst addera ytterligare en faktor redan idag, och då bäst genom appen Authenticator eller Windows Hello for Business och inte genom sms eller motringning.

För konton som används till vardags bör Windows Hello användas eftersom det ger en singelinloggning (SSO), är bekvämt och ger mycket god säkerhet. För konton med administrativa behörigheter, för mycket känsliga konton eller andra sekundära konton som du sällan loggar in med bör säkerheten baseras på FIDO2-nyckel.

