Varför lösenord inte längre räcker – och vad ni ska göra åt det

Lösenordens problem #

Lösenord har varit grunden för digital säkerhet i decennier. Men de har allvarliga brister som angripare utnyttjar dagligen:

Människor är förutsägbara #

Trots alla uppmaningar väljer de flesta fortfarande svaga lösenord:

• “123456” och “password” toppar fortfarande listorna
• Många återanvänder samma lösenord på flera tjänster
• Personlig information (husdjur, datum) är lätt att gissa

Stölder och läckor #

• Miljarder lösenord har läckt i dataintrång
• Phishing-attacker blir allt mer sofistikerade
• Keyloggers och skadlig kod stjäl lösenord i realtid

Brute force och cracking #

• Moderna GPU:er kan testa miljarder kombinationer per sekund
• Många lösenord kan knäckas på minuter
• “Lösenord123!” är inte så säkert som det känns

Lösningen: Multifaktorautentisering (MFA) #

MFA kräver minst två av följande faktorer för inloggning:

1. Något du vet – Lösenord, PIN-kod
2. Något du har – Telefon, säkerhetsnyckel, smartkort
3. Något du är – Fingeravtryck, ansiktsigenkänning

Även om en angripare stjäl ert lösenord kan de inte logga in utan den andra faktorn.

MFA-alternativ för företag #

SMS-koder #

Hur det fungerar: En engångskod skickas till mobiltelefonen vid inloggning.

Fördelar:

• Enkelt att implementera
• Användare behöver ingen extra app

Nackdelar:

• Sårbart för SIM-swapping
• SMS kan avlyssnas
• Kräver mobilnummer

Rekommendation: Bättre än inget, men det finns säkrare alternativ.

Autentiseringsappar #

Hur det fungerar: Appar som Microsoft Authenticator eller Google Authenticator genererar tidsbegränsade koder.

Fördelar:

• Säkrare än SMS
• Fungerar offline
• Gratis

Nackdelar:

• Användare måste installera app
• Kan vara krångligt vid enhetsbyte

Rekommendation: Bra standardval för de flesta organisationer.

Push-notiser #

Hur det fungerar: Användaren godkänner inloggning med ett tryck i en app.

Fördelar:

• Mycket användarvänligt
• Visar var inloggningen sker

Nackdelar:

• Kräver internetanslutning
• Risk för “MFA fatigue” – att användare godkänner utan att tänka

Rekommendation: Bra balans mellan säkerhet och användarvänlighet.

Säkerhetsnycklar (FIDO2/WebAuthn) #

Hur det fungerar: Fysisk USB-nyckel eller NFC-enhet som bevisar identiteten.

Fördelar:

• Phishing-resistent – fungerar bara på rätt sajt
• Extremt säkert
• Snabbt och enkelt för användaren

Nackdelar:

• Kostnad för nycklar (300-600 kr/st)
• Användare kan tappa bort dem
• Kräver backup-lösning

Rekommendation: Bästa valet för högriskroller (IT-admins, ekonomi, ledning).

Implementeringsstrategi #

Steg 1: Börja med högriskroller #

Implementera MFA först för:

• IT-administratörer
• Ekonomipersonal
• Ledningsgruppen
• Alla med tillgång till känsliga system

Steg 2: Rulla ut till alla #

När processen är inkörd, expandera till alla medarbetare.

Steg 3: Välj rätt nivå per system #

Inte alla system behöver samma skyddsnivå:

Steg 4: Planera för undantag #

Ha en plan för:

• Borttappade enheter
• Nya medarbetare
• Temporära undantag

Passwordless – framtiden? #

Trenden går mot att helt eliminera lösenord:

• Windows Hello for Business – Biometri eller PIN kopplat till enheten
• Passkeys – Ny standard som ersätter lösenord med kryptografiska nycklar
• SSO + MFA – Single Sign-On med stark autentisering

För de flesta organisationer är MFA ett utmärkt första steg mot en lösenordsfri framtid.

Kom igång idag #

MFA är en av de mest effektiva säkerhetsåtgärderna ni kan implementera. Microsoft uppskattar att MFA blockerar 99,9% av alla kontoattacker.

Praktiska tips #

1. Börja med Microsoft 365 – Aktivera MFA för alla användare (ingår i licensen)
2. Använd Conditional Access – Kräv MFA baserat på risk
3. Utbilda användarna – Förklara varför, inte bara hur
4. Ha backup-metoder – Vad händer om telefonen går sönder?

Behöver ni hjälp att implementera MFA i er organisation? Kontakta oss för rådgivning.