Hvis en hacker finner ut påloggingsinformasjonen din, kan de få tilgang til alle dataene dine. Så hvis passord er problemet, hvordan kan vi gå uten passord?
Passord har vært en kritisk del av nettsikkerhet siden begynnelsen av internett, og de er fortsatt den vanligste formen for autentisering som er tilgjengelig i dag. Men med fremveksten av nettangrep mot passordbasert autentisering og katastrofale datainnbrudd, kan ikke statiske passord kutte det lenger.
Så hvis passord kommer med alvorlige sikkerhetsrisikoer, kan vi bare skille oss med dem og i stedet bruke passordløse pålogginger?
Hva er problemet med å bruke passord?
Selv om passord er ganske enkle å bruke og fungerer godt sammen med andre autentiseringsmetoder, er de ikke så sikre som vi ønsker at de skal være. Og det er mest våre egne feil.
De fleste passord som er enkle å huske, er ikke sterke, og sterkeste passord er ikke lett å huske. For å takle dette dilemmaet kan vi komme opp med ett eller to nesten uopprettelige passord og bruke dem på tvers av alle våre nettkontoer og forskjellige enheter. Problemet med dette er at hvis et av passordene dine kommer i feil hender, kan alle applikasjoner og tjenester som deler det passordet også bli kompromittert.
I følge a studie av Verizon, er over 80 prosent av hackerelaterte datainnbrudd forårsaket av dårlige eller stjålne passord, som er et gjennomsnitt på fire av fem brudd på verdensbasis. Det hjelper ikke at mange mennesker ikke endrer standard passord med en gang (eller i det hele tatt), og disse blir noen ganger distribuert gjennom hackerfora.
I mellomtiden blir passordknekkingsverktøy blitt bedre til å gjette passord, noe som betyr at det bare er et tidsspørsmål før et "ikke-knekkelig" passord blir knekt. Passord blir også stjålet gjennom sosiale ingeniørangrep, og disse blir mer sofistikerte takket være kunstig intelligens (AI) – til og med ChatGPT har blitt tatt i å skrive skadelig programvare.
I tillegg sendes passord noen ganger over usikrede nettverk, noe som gjør det til en barnelek for nettkriminelle å stjele dem. Hvis du noen gang har brukt Wi-Fi i favorittkaféen din, har du sannsynligvis begått denne sikkerhetssynden.
Så hvis passord ikke kan klare seg, hva er de sikreste alternativene?
Hva er de beste passordalternativene for bedre sikkerhet?
Siden statiske passord og autentiseringssystemer med ett passord kan forårsake alvorlige sikkerhetsproblemer, kan vi bytte dem ut med sikrere alternativer og slutte å bekymre oss for sikkerheten vår på nettet. Men hvilket passordalternativ er best for sikkerheten?
1. Biometri
I sammenheng med cybersikkerhet er biometri eller biometrisk autentisering en sikkerhetsmetode som sjekker dine unike biologiske egenskaper for å bekrefte identiteten din. Enten vi snakker om fingeravtrykkskartlegging, netthinneskanning, stemmeverifisering eller ansiktsgjenkjenning, handler biometri om dine unike identifikatorer.
I motsetning til dette, siden et sikkert passord er en kombinasjon av store og små bokstaver, tall og symboler – kort sagt vanskelig å huske – kan det glippe minnet ditt som om det ikke er noe. Sikker biometrisk autentisering betyr ett passord (dvs. ansiktet, stemmen eller fingeravtrykket ditt), og du vil aldri glemme det.
Mens nettkriminelle kan bruke en kopi av ansiktet ditt, stemmen din eller fingeravtrykket ditt i et falskt angrep, å bruke smarte sikkerhetsverktøy og legge til flere autentiseringsmetoder kan minimere denne risikoen betydelig. Bruk av biometri reduserer også risikoen for vellykket phishing og andre typer sosiale ingeniørangrep.
Men mens biometri er sikrere og brukervennligere enn passord, er det også et par ulemper med dem. Biometrisk autentisering krever nemlig spesialisert maskinvare og programvare, noe som kan sette det på den kostbare siden. Biometriske data er også ganske personlige, så noen mennesker kan føle seg ukomfortable med å bruke dem for autentisering.
2. Multifaktorautentisering
Som navnet tilsier, multifaktorautentisering (eller MFA for kort) er en autentiseringsmetode som ber om to eller flere verifiseringsfaktorer før den gir tilgang til en applikasjon eller nettjeneste.
Så i stedet for å være fornøyd med et brukernavn og statisk passord, ber MFA om ytterligere bekreftelsesfaktorer som engangspassord, geolokalisering eller en fingeravtrykkskanning. Ved å sørge for at brukerlegitimasjonen ikke er stjålet, gjør MFA mindre sannsynlighet for vellykket svindel eller identitetstyveri.
Selv om MFA er sikrere enn å bare bruke et statisk passord, er det også mindre praktisk siden brukere må utføre flere trinn. For eksempel, hvis du mister en enhet du bruker for den andre autentiseringen, kan du bli utestengt fra alle nettkontoene dine som bruker MFA.
3. Engangspassord
Også kjent som dynamiske passord, engangs-PIN-er og engangsautorisasjonskoder (OTAC-er), engangspassord (OTP) er passord som kun kan brukes for én påloggingsøkt. Så, som navnet antyder, kan denne kombinasjonen av tegn bare brukes én gang, noe som hjelper den å unngå noen få feil ved statiske passord.
Mens brukernes påloggingsnavn forblir de samme, endres passordet med hver ny pålogging. Så siden en OTP ikke kan brukes en gang til, gir det ikke mye mening for nettkriminelle å stjele den, noe som gjør noen typer identitetstyveri ineffektive.
De tre vanligste typene OTP er autentisering for SMS, e-post og e-post (også kalt magisk lenke), og alle tilbyr en enkel og sikker pålogging til brukerne sine. Siden det ikke finnes statiske passord, er det ingen risiko for at brukere ikke klarer å huske eller på annen måte mister dem.
Imidlertid er det noen ulemper med OTP-er også, og de har alt å gjøre med service leverandøravhengighet – du vil ikke få en OTP eller magisk lenke hvis e-post- eller SMS-leverandøren din ikke sender den til deg. Selv e-postleveranser kan bli forsinket på grunn av svak internettforbindelse eller lignende faktorer.
4. Sosial pålogging
Sosial pålogging eller sosial pålogging er en prosess som lar brukere logge på applikasjoner og nettplattformer ved å bruker informasjon fra sosiale nettverkssider (som Facebook, Twitter og LinkedIn) de bruker for øyeblikket. Denne formen for enkel og superrask pålogging er et praktisk alternativ til standard, tidkrevende kontooppretting.
Men brudd og lekkasjer har gjort at mange brukere mistillit til sosial pålogging når det gjelder sikkerhet. Siden selskaper fortsetter å samle inn brukerdata, fortsetter bekymringene for personvern med sosiale pålogginger å øke.
5. Sikkerhetsnøkkelautentisering
For å sikre at de riktige brukerne har tilgang til de riktige dataene, sikrer denne typen MFA passordene dine ved å legge til en såkalt sikkerhetsnøkkel, en fysisk enhet som kobles til datamaskinen din (via USB-port eller Bluetooth-tilkobling) hver gang du logger på en tjeneste sikkerhetstiltak.
Sikkerhetsnøkler blir noen ganger forvekslet med sikkerhetstokens, som også er fysiske enheter, men de som genererer en sekssifret numerisk kode når MFA ber om det. Selv om de deler et formål, er de ikke de samme.
Mens sikkerhetsnøkler kan bekjempe passordbaserte angrep (phishing, legitimasjonsfylling, ordbokpassord, og slikt), er de fortsatt en relativt ny spiller i cybersikkerhetsspillet, så de er kanskje ikke her for å bli. I tillegg, hvis sikkerhetsnøkkelen din blir stjålet eller mistet, er dette et stort problem.
Andre bemerkelsesverdige alternativer til passord
Et av de mer tankevekkende alternativene til passord er en type biometrisk autentisering som gjenkjenner typiske bølgeformer generert av hver brukers hjerterytme og bruker den for identifikasjon – det kalles hjerteslag eller hjertefrekvens Anerkjennelse. Selv om det må være flott å slippe å gjøre noe (foruten å være i live) for å få tilgang til din kontoer, er denne typen autentisering rettet mot miljøer med høy sikkerhet og er for dyr for personlig bruk.
Andre bemerkelsesverdige alternativer for sikrere pålogginger er tastetrykkautentisering (som fanger opp brukerens unike skrivemønster for å bekrefte identiteten deres), enkeltpålogging (som lar en bruker få tilgang til alle appene og tjenestene deres med ett enkelt sett med legitimasjon), og passord (en passordløs pålogging som krever at brukere genererer en ny adgangsnøkkel via en autentisering hver gang de vil ha tilgang til appene og tjenestene deres).
Dessuten bør vi ta opp passordbehandlere, men snarere som en oppgradering enn en erstatning for passord – det kalles tross alt en passordbehandler, ikke en passordløs administrator. Så hvis du foretrekker å holde deg til passord, kan denne typen verktøy hjelpe deg med å sikre legitimasjonen din, generere sterke passord og lagre alle påloggingene dine for en mer sømløs online opplevelse.
Er fremtiden passordløs?
Det er flere typer autentisering du kan bruke uten å skrive inn et passord, men bare noen av dem prøver å fullstendig kaste ut passordet fra prosessen - og det burde ikke være noe problem. Med en blanding av flere autentiseringsmetoder kan ett enkelt feilpunkt elimineres og din online sikkerhet forbedres.
Når det gjelder fremtiden, forventer vi at markedet for passordløs autentisering vil utvide seg etter hvert organisasjoner og enkeltpersoner søker etter sikkerhetsløsninger som kan bekjempe passordbasert nettangrep.
