Det är därför lösenord inte fungerar längre.
Lösenord brukade vara det bästa sättet att logga in. Kom ihåg en hemlighet, ange den och få åtkomst. Men verkligheten är att de inte längre ger ett effektivt skydd.
Sårbarheterna är väl dokumenterade i säkerhetsforskning, branschrapporter och otaliga utredningar av dataintrång. Att fortsätta förlita sig på lösenord är som att låsa ytterdörren medan fönstren lämnas öppna.
Lösenord är lätta att avslöja
Ur ett säkerhetsperspektiv är lösenord en av de mest utnyttjade attackvektorerna. Verizons utredningsrapport om dataintrång identifierar svaga eller stulna inloggningsuppgifter som en ledande orsak till dataintrång.
Användare luras att lämna ut sina lösenord via nätfiskemejl, och de återanvänder stulna inloggningsuppgifter från en tjänst till en annan. Svaga lösenord upptäcks med automatiserade verktyg, och när ett lösenord har exponerats får angriparen ofta obegränsad åtkomst och inträde i systemen bakom lösenordet.
Allt detta tillsammans innebär att lösenord i allt högre grad är en börda och en risk, inte en säkerhetsåtgärd.
Att återställa lösenord är en dold kostnad
Operativt sett är lösenord en belastning på effektiviteten. Gartner uppskattar att mellan 30 och 50 procent av alla samtal till IT-helpdesk är lösenordsrelaterade. Varje återställning kan ta fem till tio minuter av IT-personalens tid. Dessutom kommer förlorad produktivitet för den anställde som är utelåst.
I stora företag kan detta innebära tusentals återställningar varje år och hundratals förlorade timmar. Den dolda kostnaden är enorm. Kompetenta medarbetare lägger ner timmar på repetitivt, lågvärdigt arbete, och IT-budgetar slukas av drift istället för innovation.
Frustrerade anställda ger ett dåligt intryck av organisationen
Ur ett användarperspektiv skapar lösenord frustration. Anställda ombeds följa komplexa riktlinjer: de måste skapa långa strängar av stora bokstäver, små bokstäver, siffror och symboler, som roteras var 60:e eller 90:e dag.
Istället för att förbättra säkerheten leder detta till osäkert beteende. Folk skriver ner dem. De återanvänder dem i flera system. De väljer förutsägbara mönster. Ju strängare regler, desto sämre efterlevnad. Värdet av en process som saktar ner samtidigt som den gör lite för att hålla system och anställda säkra blir lågt. För HR-chefer är denna frustration en del av medarbetarupplevelsen, och den friktion som uppstår speglar sig negativt på organisationen.
Lösenordslös verifiering balanserar säkerhet och efterlevnad
Myndighetskrav förvärrar situationen. Att följa olika standarder som GDPR, ISO 27001 och SOC2 kräver starka rutiner för identitets- och åtkomsthantering. Lösenordsbaserade återställningar och delade inloggningsuppgifter leder till bristande efterlevnad. Som ett resultat sätter complianceansvariga mer press på IT att åtgärda processer, vilket leder till strängare regler som ytterligare frustrerar anställda.
Resultatet är en ond cirkel av mer komplexitet, mer frustration och ingen verklig förbättring av säkerheten. Lösenord misslyckas eftersom de är en svag punkt. De kan gissas, stjälas eller glömmas bort. Det är slöseri med tid och pengar; förtroendet för IT-system urholkas.
För en organisation som försöker balansera säkerhet, efterlevnad och användarupplevelse är de fel verktyg för jobbet. Det är därför det inte är valfritt – det är nödvändigt att gå över till mer innovativa former av identitetsverifiering.