Derfor virker ikke passord lenger
Tidligere var passord den beste måten å logge inn på. Husk en hemmelighet, skriv den inn og få tilgang. Men virkeligheten er at de ikke representerer effektiv beskyttelse lenger.
Svakhetene er godt dokumentert på tvers av forskning på sikkerhet, bransjerapporter og utallige sikkerhetsbruddsundersøkelser. Å fortsette å stole på passord er som å låse inngangsdøren mens vinduene står åpne.
Passord er lette å avsløre
Fra et sikkerhetsperspektiv er passord en av de mest utnyttede angrepsvektorene. Verizons rapport om undersøkelser av datainnbrudd identifiserer svake eller stjålne legitimasjonsopplysninger som en hovedårsak til brudd.
Brukere lures til å gi fra seg passord gjennom phishing e-poster, og resirkulerer stjålne legitimasjonsopplysninger fra én tjeneste til en annen. Svake passord avdekkes med automatiserte verktøy, og når et passord er eksponert, får angriperen ofte ubegrenset tilgang og innpass i systemene bak passordet.
Tilsammen gjør alt dette at passord i økende grad er en belastning og en risiko, ikke en sikkerhetsforanstaltning.
Å tilbakestille passord er en skjult kostnad
Driftsmessig er passord et effektivitetssluk. Gartner anslår at mellom 30 og 50 prosent av alle IT-hjelpesenterhenvendelser er passordrelaterte. Hver tilbakestilling kan ta fem til ti minutter av de IT-ansattes tid. I tillegg kommer tapt produktivitet for den ansatte som er utelåst.
I store bedrifter kan dette bety tusenvis av tilbakestillinger hvert år, og hundrevis av timer tapt. Den skjulte kostnaden er enorm. Dyktige ansatte bruker timesvis på repeterende arbeid med lav verdi, og IT-budsjettet brukes opp av drift i stedet for at det går til innovasjon.
Frustrerte ansatte gis et dårlig inntrykk av organisasjonen
Fra brukerens perspektiv skaper passord frustrasjon. Ansatte blir bedt om å følge komplekse retningslinjer: de må skape lange strenger med store bokstaver, små bokstaver, tall og symboler, som roteres hver 60. eller 90. dag.
I stedet for å forbedre sikkerheten fører dette til usikker atferd. Folk skriver dem ned. De gjenbruker dem på tvers av flere systemer. De velger forutsigbare mønstre. Jo strengere reglene er, desto dårligere er samsvaret. Verdien i en prosess som bremser opp samtidig som den gjør lite for å holde systemene og de ansatte trygge, blir lav. For HR-ledere er denne frustrasjonen en del av ansattopplevelsen, og friksjonene som oppstår reflekterer dårlig på organisasjonen.
Passordfri verifisering balanserer sikkerhet og samsvar
Reguleringskrav forverrer situasjonen. Å være i samsvar med ulike standarder angående GDPR, ISO 27001 og SOC2 krever sterke rutiner for identitets- og tilgangshåndtering. Passordbaserte tilbakestillinger og delte legitimasjonsdetaljer fører til manglende compliance. Som et resultat legger compliance-ansvarlige mer press på IT for å fikse prosessene, noe som fører til strengere regler som frustrerer ansatte ytterligere.
Resultatet er en ond sirkel med mer kompleksitet, mer frustrasjon og ingen reell forbedring i sikkerheten. Passord mislykkes fordi de er et svakhetspunkt. De kan gjettes, stjeles eller glemmes. Det er sløsing med tid og penger; tilliten til IT-systemer eroderes.
For en organisasjon som prøver å balansere sikkerhet, samsvar og brukeropplevelse, er de feil verktøy for jobben. Derfor er overgangen til mer innovative former for identitetsverifisering ikke valgfri – den er nødvendig.