OpenText startsida.
Tekniska ämnen

Vad är lösenordsfri autentisering?

Illustration av IT-artiklar med fokus på en glödlampa

Lösenordslös autentisering

Vad är lösenordsfri autentisering?

Lösenordslös autentisering är processen att verifiera någons identitet utan att använda det typiska anspråket (användarnamn) och lösenordet. Verktyg som lägger in traditionella autentiseringsuppgifter i en inloggningsprompt är inte lösenordslösa.

De vanligaste metoderna för lösenordsfri autentisering är biometri, t.ex. fingeravtryck och ansiktsigenkänning, och appar som är vanliga på smartphones. Dessa smartphone-appar kräver ofta en biometrisk ID-verifiering som kombinerar flera faktorer i en enda autentiseringsprocess.

OpenText IAM driver ditt företag

OpenText™ Identity and Access Management (NetIQ) erbjuder en omfattande uppsättning identitets- och åtkomsttjänster som gör det möjligt för arbetare att säkert komma åt resurser var som helst, på vilken enhet som helst, var som helst och vid rätt tidpunkt. OpenText Cybersecurity ger också organisationer möjlighet att interagera med sina konsumenter på ett effektivt och säkert sätt.

Varför är lösenordsfri autentisering populärt?

Löftet om att lösenordsfri autentisering ska kunna ersätta traditionella inloggningsuppgifter har funnits i över tre decennier, men den teknik som finns tillgänglig idag har gjort det till verklighet. År 2022 uppgick den lösenordsfria marknaden till 15,6 miljarder dollar, men den förväntas växa till över 53 miljarder dollar år 2030. En stor del av dagens lösenordslösa användning möjliggörs genom smartphones. Rapporten "The State of Passwordless" Dark Reading på uppdrag av OpenText rapporterar att 64% av respondenterna tycker att det är viktigt att gå över till en helt lösenordsfri autentiseringsmodell.

Under det senaste årtiondet har efterlevnad av myndighetskrav varit den drivande kraften för organisationer att införa lösenordslös teknik:

  • Regerings-och offentliga myndigheter omfattas nu av särskilda krav på multifaktorautentisering. Dessa krav började som rekommendationer men har under årens lopp omvandlats till policyer. Policyn infördes som allmänna riktlinjer men utvecklades med tiden till specifika tvåfaktormandat för åtkomst till sekretessbelagda dokument.
  • Hälso- och sjukvården Hälso- och sjukvårdsintrångi USA och i resten av världen orsakar mer ekonomisk skada för organisationer på denna marknad än på någon annan, till och med finansmarknaden. Statliga institutioner har svarat med specifika krav på lösenordslösning och tvåfaktorsautentisering.
  • Finansiella tjänster - Även omstatliga bestämmelser kräver att kundernas privata finansiella och personliga information skyddas, driver behovet av datasäkerhet på för att upprätthålla konsumenternas förtroende. Medan finansiella tjänster har varit en ledande användare av multifaktorautentisering, har smartphone-plattformar ytterligare drivit på användningen av lösenordslös identitetsverifiering. 

Identitetsverifiering för arbetskraften

Historiskt sett har användningen av lösenordslös teknik inom personalsäkerhet varit hänvisad till specialiserade applikationer och användare. Det är först under det senaste decenniet som de fyra största hindren för dess införande har undanröjts:

  1. Hårda tokens, fingeravtrycksläsare i företagsklass och andra biometriska enheter är inte längre för dyra för användning i hela företaget.
  2. Kostnaden för registrering och installation av enheter, som tidigare var för hög för massanvändning - särskilt för anställda på distans och kontor som är för små för att motivera IT-support på plats - är nu mer överkomlig.
  3. Den löpande fjärradministrationen av autentiseringsenheter, som tidigare var omöjlig, blir nu rutin, och fjärråterställningar och omkonfigurering blir normen.
  4. Där säkerhetsteam, deras ledning och i synnerhet deras användare tidigare saknade förtroende för lösenordslös teknik, har den senaste tidens spridning av användningsfall genererat en våg av modernisering och planering av autentisering.

Utöver enheternas utveckling har användningsområdena för autentisering och kraven kring dem också förändrats, utöver myndigheternas mandat.

Arbete på distans

Nu mer än någonsin kommer fältarbetare åt privat information via mobila plattformar. Långt bortom vägkrigare har införandet av distansarbete sett en betydande tillväxt under de senaste tre åren. Arbete från var som helst hade ökat stadigt före pandemin, men nya policyer för distansarbete har sedan dess fått stor spridning i alla branscher.

Moln 

Strukturerad och ostrukturerad privat data lagras och nås allt oftare från molnet snarare än från datacentret. I takt med att användningen av datacenter för företagstjänster och dirigering av fjärrtrafik har minskat dramatiskt, blir säkerhetstekniker för brandväggar alltmer irrelevanta.

Användning av personlig utrustning

Säkerhetskontrollen försvåras ytterligare av den ökande användningen av BYOD (bring-your-own-device). Fjärråtkomst till molnbaserade resurser från BYOD flyttar det grundläggande beroendet från hanterade enheter till identitetsbaserad säkerhet. Denna tillit innebär en ökad exponering för nätfiske och andra identitetsattacker som kringgår identitetsverifiering.

Denna förflyttning bort från hanterade nätverk, interna digitala resurser (tjänster och ostrukturerad data) och företagsenheter innebär att säkerhetsteamen inte längre kan förlita sig på dem som en del av sin strategi. Att basera säkerhet på identitet kräver i stället en verifierad strategi som är mycket motståndskraftig mot bedragare. Och även om användningen av multifaktorautentisering kommer att fortsätta att öka, höjer lösenordslösning med en faktor säkerhetsnivån jämfört med användarnamn och lösenord samtidigt som autentiseringsprocessen förenklas. Medarbetarna kan snabbt och enkelt använda ansiktsigenkänning, verifierade fingeravtryck eller andra passiva lösningar. Samtidigt får organisationen ett ökat skydd mot nätfiske - den mest framträdande sårbarheten och källan till intrång.

Konsumenterna går över till lösenordslösa

Det viktigaste verktyget för lösenordslösning är smarttelefonen. Genom att packa en rejäl mängd datorkraft i ett litet paket har de blivit oumbärliga för så många av oss, vilket gör dem till en lösenordslös spelförändrare. Vi använder dem till allt - från sms och sociala medier till shopping och bankärenden på nätet. Vi tar bilder på ett ögonblick, letar efter vägbeskrivningar eller söker efter svar.

Beroendet av handhållna datorenheter har lett till ett paradigmskifte inom autentisering som saknar motstycke:

  • Universell anslutning gör det möjligt att verifiera en persons identitet utanför bandet under autentiseringen.
  • bärbar processorkraft kan generera seeds och nycklar som fungerar som engångspins.
  • Biometriska och passiva autentiseringsmetoder kommer att utvecklas i takt med att smartphones utvecklas, vilket gör att verifieringen kan utvecklas och bli mer sofistikerad.

Konsumenterna blir alltmer medvetna om de hot som traditionell autentisering utgör för dem. Organisationerna är medvetna om detta och ser möjligheter att förbättra sina digitala tjänster.

Hur säker är lösenordsfri autentisering?

Verizons dataintrångsteam identifierade spear phishing som den dominerande metoden för att stjäla referenser som används av brottslingar. Spear phishing inleds med att angriparen skickar ett e-postmeddelande som ser ut att komma från en betrodd källa, t.ex. en bank, en kollega eller någon annan källa som skickar offren till en falsk webbplats. Den här webbplatsen kräver autentisering och lurar offren att avslöja sina inloggningsuppgifter, ange kreditkortsnummer eller tillhandahålla någon annan uppsättning privat information.

En variant av denna attack erbjuder en länk som, när man klickar på den, installerar skadlig kod på offrens datorer.

Lösenordslös teknik är väl lämpad för att skydda mot den här typen av attacker. För plattformar som konfigurerats för att eliminera lösenord kan inga lösenord registreras via inmatning eller tangenttryckning. För plattformar som erbjuder lösenord som ett alternativ utöver lösenordslös kan det förstärkas med en lösenordslös multifaktorautentisering, till exempel något de har - som en smartphone - eller något de är - biometri.

Beroendet av smartphones gör att deras sårbarheter hamnar i förgrunden för säkerhetsdiskussionen. Om mobila enheter lämnas obevakade kan de hamna i händerna på hackare och andra oseriösa aktörer, som kan snappa upp PIN-koder, OTP:er och push-godkännanden utanför bandbredden och konfigurera om biometrin så att den matchar dem själva. Stöld av SIM-kort innebär också en risk för SMS/OTP. Även om användarna är försiktiga kan deras säkerhet äventyras när angripare manipulerar tjänsteleverantörer att annullera och överföra viktig information från legitima SIM-kort.

Även om ingen organisation kan avvärja alla hot är det sant att en övergång till ett lösenordsfritt system skyddar mot de vanligaste hoten. Även när det gäller enfaktorsautentisering ökar säkerheten genom att man inte längre behöver skriva in inloggningsuppgifter. Ännu mer kan göras, till exempel genom att höja säkerhetsnivåerna via riskbaserad autentisering (RBA). RBA har sedan länge bevisat sin förmåga att avgöra när ytterligare steg behövs för att verifiera en användares identitet. Organisationer kan använda sig av andrafaktorsautentisering under fördefinierade förhållanden, t.ex:

  • Har enheten setts tidigare?
    • Fingeravtryck av enheter
    • Cookie för webbläsare
  • Är användaren på plats där den förväntas vara?
    • IP-tjänst för geolokalisering
    • Geofencing (GSM)
  • Uppför sig användaren som förväntat?
  • Vilken är informationens risknivå?

Sådana kriterier hjälper organisationer att avgöra hur många nivåer av identitetsverifiering som är nödvändiga. Det kan till exempel krävas ett fingeravtryck för att få tillgång till information. Det finns dock en känsligare undergrupp som kräver multifaktorautentisering när risken är förhöjd.

Guide för lösenordslöst köp

En praktisk guide för att minska risker och friktion i digital identitet.

Läs köparens guide

Hur man implementerar

Så här implementerar du lösenordsfri autentisering

Att implementera lösenordsfri inloggning innebär mer än att sluta använda lösenord - det kräver att man noggrant utformar användarflöden, väljer starka autentiserare och planerar reservvägar. Här är en färdplan (hitta mer information i OpenText's Passwordless Buyer's Guide):

1. Definiera assuransnivåer och kartläggning av användningsfall. Börja med att klassificera dina resurser efter risknivå (t.ex. grundläggande kontoinformation kontra finansiella transaktioner). Använd standarder som NIST:s Authentication Assurance Levels (AAL) för att avgöra hur stark din autentisering måste vara för varje scenario. Mappa sedan varje användarresa (inloggning, transaktion, administratörsåtgärd) till en lämplig assuransnivå.

2. Välj rätt autentiseringsmetoder. Välj en eller flera lösenordsfria metoder som överensstämmer med dina risk-, användbarhets- och kostnadsmål. Helst ska man välja driftskompatibla standarder (t.ex. FIDO2) så att du förblir leverantörsoberoende och plattformsoberoende. Tillvalen omfattar:

  • Säkerhetsnycklar för hårdvara/FIDO2/WebAuthn
  • Mobilappar med "out-of-band push" eller TOTP
  • Biometrisk verifiering (fingeravtryck, ansikte, röst)
  • Kontextuella/passiva faktorer (enhetens position, geolokalisering, Bluetooth)

3. Utforma ett säkert inskrivningsflöde. Bindningen mellan en användare och dess autentiserare är kritisk. Verifiera identiteten (t.ex. via befintliga referenser, identitetsbevis eller personliga kontroller) och registrera sedan autentiseringsverktyget kryptografiskt. Stöd för flera autentiserare per konto (så att användarna har säkerhetskopior) och gör det möjligt för dem att inaktivera eller ändra metoder.

4. Implementera autentiseringsflöden. För varje interaktion (inloggning, transaktion, förnyelse av session):

  • Utmana användarens registrerade autentiserare.
  • Använd kryptografiskt säkra utbyten (t.ex. WebAuthn, CTAP).
  • Inkludera signaler om bedrägeri/risk (enhetens fingeravtryck, plats, beteende) för att anpassa den styrka som krävs.
  • Öppna inte eller eskalera endast när det behövs (blockera inte åtkomst med låg risk).

5. Tillhandahålla reserv-/återställningsvägar. Inget system är perfekt. Användare kan förlora sin telefon eller nyckel. Tillhandahålla säkra återvinningsalternativ med hög säkerhet (t.ex. stödja identitetsverifiering, alternativa autentiserare eller fallback med utmaning och svar) för att återställa åtkomsten utan att försämra säkerheten.

6. Övervaka, upprepa och fasa in lanseringar. Börja med begränsade pilotgrupper eller icke-kritiska banor. Övervaka feedback från användare, avhopp, supportärenden och säkerhetshändelser. Använd dessa data för att förfina dina flöden, kalibrera risktrösklar och utöka täckningen. Se till att loggning och kriminaltekniska spår finns på plats för att upptäcka avvikelser.

Vanliga frågor och svar

Vad betyder "lösenordsfri autentisering"?

Autentisering utan lösenord innebär att användare kan logga in utan att memorera eller skriva in lösenord. Istället bygger autentisering på kryptografiska referenser som är knutna till en enhet (eller biometri/PIN) för att styrka identiteten.

Hur skiljer sig lösenordsfri autentisering från multifaktorautentisering (MFA)?

MFA lägger vanligtvis ytterligare kontroller ovanpå ett lösenord. Lösenordslös autentisering undviker lösenord helt och hållet och förlitar sig enbart på starkare faktorer (enhet, biometri eller innehav) och blandar eventuellt in ytterligare faktorer.

Vilka tekniker eller metoder möjliggör lösenordsfri inloggning?

Vanliga lösenordslösa metoder inkluderar:

  • Säkerhetsnycklar för hårdvara/FIDO2/WebAuthn
  • Biometriska kontroller (fingeravtryck, ansikte) eller enhetens PIN-kod
  • Mobila push-meddelanden eller appar
  • Magiska länkar eller engångskoder (om de är utformade på ett säkert sätt)

Är lösenordslösning säkrare än lösenord?

I många fall, ja, är lösenordslösning säkrare än lösenord - särskilt när det implementeras på rätt sätt. Eftersom det inte finns något lösenord att stjäla är det motståndskraftigt mot återanvändning av inloggningsuppgifter, brute force och många nätfiskeattacker.

Vad händer om en användare tappar bort sin enhet?

Du bör bygga upp reserv- eller återställningsalternativ - t.ex. alternativa autentiserare, steg för identitetsverifiering eller förregistrerade återställningsmetoder - så att användarna kan återfå åtkomst utan att säkerheten försämras.

Är lösenordsfritt svårt att ta till sig eller dyrt?

Det kan finnas initiala kostnader för lösenordslösning (infrastruktur, introduktion av användare, tillhandahållande av enheter), men dessa uppvägs ofta av minskningar av lösenordsåterställningar, belastning på helpdesk och säkerhetsrisker.

Kommer användarna att tycka att lösenordslösning är lätt att använda?

Generellt sett, ja. Många användare tycker att biometriska eller push-baserade metoder är enklare och snabbare än lösenord. Utbildning av användarna och smidiga flöden är dock avgörande för att minska friktionen.

Relaterade produkter

OpenText™ Advanced Authentication (NetIQ)

Aktivera lösenordsfri och multifaktorautentisering

OpenText™ Access Manager (NetIQ)

Leverera single sign-on och åtkomstkontroll över alla dina plattformar

OpenText™ Privileged Access Manager (NetIQ)

Säkra och kontrollera privilegierad åtkomst för att skydda kritiska tillgångar

Identitets- och åtkomsthantering

Säkra dina digitala tillgångar genom att tryggt hantera identiteter och åtkomst

Se alla produkter

Hur kan vi hjälpa till?