Derfor virker adgangskoder ikke længere.
Adgangskoder plejede at være den bedste måde at logge ind på. Husk en hemmelighed, indtast den, og få adgang. Men i virkeligheden yder de ikke længere effektiv beskyttelse.
Sårbarhederne er veldokumenterede på tværs af sikkerhedsforskning, brancherapporter og utallige undersøgelser af brud. At fortsætte med at stole på adgangskoder er som at låse hoveddøren, mens vinduerne lades åbne.
Adgangskoder er nemme at afsløre
Fra et sikkerhedsperspektiv er adgangskoder en af de mest udnyttede angrebsvektorer. Verizons undersøgelsesrapport om databrud identificerer svage eller stjålne loginoplysninger som en ledende årsag til brud.
Brugere bliver narret til at opgive deres adgangskoder via phishing-e-mails, og de genbruger stjålne loginoplysninger fra én tjeneste til en anden. Svage adgangskoder opdages med automatiserede værktøjer, og når en adgangskode er afsløret, får angriberen ofte ubegrænset adgang og adgang til systemerne bag adgangskoden.
Alt dette tilsammen betyder, at adgangskoder i stigende grad er en byrde og en risiko, ikke en sikkerhedsforanstaltning.
Nulstilling af adgangskoder er en skjult omkostning
Driftsmæssigt set er adgangskoder en belastning for effektiviteten. Gartner anslår, at mellem 30 og 50 procent af alle opkald til IT-helpdesk er adgangskoderelaterede. Hver nulstilling kan tage fem til ti minutter af IT-personalets tid. Dertil kommer tabt produktivitet for den medarbejder, der er låst ude.
I store virksomheder kan dette betyde tusindvis af nulstillinger hvert år og hundredvis af tabte timer. De skjulte omkostninger er enorme. Dygtige medarbejdere bruger timer på repetitivt arbejde af lav værdi, og IT-budgetterne bruges på drift i stedet for innovation.
Frustrerede medarbejdere giver et dårligt indtryk af organisationen
Fra et brugerperspektiv skaber adgangskoder frustration. Medarbejdere bliver bedt om at følge komplekse retningslinjer: de skal oprette lange strenge af store bogstaver, små bogstaver, tal og symboler, som roteres hver 60. eller 90. dag.
I stedet for at forbedre sikkerheden fører dette til usikker adfærd. Folk skriver dem ned. De genbruger dem på tværs af flere systemer. De vælger forudsigelige mønstre. Jo strengere reglerne er, desto dårligere er compliancen. Værdien af en proces, der går langsommere, men gør lidt for at holde systemer og medarbejdere sikre, bliver lav. For HR-ledere er denne frustration en del af medarbejderoplevelsen, og den friktion, der opstår, afspejler sig negativt på organisationen.
Adgangskodefri verifikation balancerer sikkerhed og overholdelse af regler
Lovkrav forværrer situationen. Overholdelse af forskellige standarder såsom GDPR, ISO 27001 og SOC2 kræver stærke praksisser for identitets- og adgangsstyring. Adgangskodebaserede nulstillinger og delte legitimationsoplysninger fører til manglende overholdelse. Som følge heraf lægger compliance-ansvarlige mere pres på IT for at rette op på processer, hvilket fører til strengere regler, der yderligere frustrerer medarbejderne.
Resultatet er en ond cirkel af mere kompleksitet, mere frustration og ingen reel forbedring af sikkerheden. Adgangskoder fejler, fordi de er et svagt punkt. De kan gættes, stjæles eller glemmes. Det er spild af tid og penge; tilliden til IT-systemer eroderes.
For en organisation, der forsøger at finde balancen mellem sikkerhed, compliance og brugeroplevelse, er de de forkerte værktøjer til opgaven. Derfor er det ikke valgfrit at skifte til mere innovative former for identitetsbekræftelse – det er nødvendigt.