Vad är lösenordslös autentisering och hur fungerar det

De flesta människor måste komma ihåg en rad olika lösenord för att logga in på olika enheter och konton, oavsett om det är för sin telefon och bärbara dator eller e-post och sociala mediekonton. Det blir alltför lätt att vara lat med lösenordshygien , men det är då användarna blir som mest mottagliga för cyberattacker. Och det har blivit otroligt lätt för hackare att stjäla lösenord genom dataintrång , nätfiske och andra attacker.

Som ett resultat har lösenord fallit i onåd under de senaste åren. Trenden kommer att växa i takt med att otaliga former av lösenordslös autentisering används i allt större utsträckning, både av användare och organisationer. Så, vad är egentligen lösenordsfri säkerhet, hur fungerar det, och vilka finns de olika exemplen på lösenordslös autentisering? Läs vidare för att lära dig mer.

Vad är lösenordslös autentisering?

I enklaste termer, tillåter lösenordsfri autentisering en användare att verifiera sin identitet utan att behöva ett lösenord. Detta kan uppnås på olika sätt. Till exempel kan en användare skanna sitt ansikte eller sitt fingeravtryck för att få åtkomst till sin enhet eller konto, eller så kan de använda engångslösenord (OTP), som ofta används vid tvåfaktorsautentisering (2FA) eller URL-länkar som är specifikt genererade för varje inloggningsförsök.

Lösenordsinloggningar har blivit allt mer populära de senaste åren, men användare skapar lösenord med mycket svag säkerhet . Många användare använder samma lösenord på olika konton, skapar inte tillräckligt komplexa lösenord och glömmer att ändra dem regelbundet. Fast självklart kan en seriös lösenordshanterare hjälpa till med detta.

Hur fungerar autentisering utan lösenord?

Lösenordslös autentisering kräver att användarna uppvisar något unikt för att verifiera sin identitet och få åtkomst till en enhet eller ett konto. Dessa kallas autentiseringsfaktorer, och det finns flera olika typer, bland annat:

• Kunskapsfaktorer något användaren kan, som ett lösenord
• Innehavsfaktorer: något användaren har, som en telefon som kan ta emot ett engångslösenord (OTP)
• faktorer: något som är unikt för användaren, vanligtvis avser detta biometri som fingeravtryck eller ansiktsigenkänning
• Platsfaktorer: användaren kräver en specifik geografisk plats för att få åtkomst, till exempel sitt kontor eller hem
• Beteendefaktorer: användaren måste utföra specifika åtgärder för att få åtkomst få åtkomst, som lösenordet för Windows 8-bilden

Alla inloggningar kräver att användarna uppvisar minst en faktor. Vanligast är detta en kunskapsfaktor – oftast ett lösenord. Lösenordslös inloggning eliminerar dock behovet av lösenord genom att dra nytta av de många andra autentiseringsfaktorerna för att erbjuda ökad säkerhet. Dessa är ofta innehavsfaktorer, som OTP, eller inneboende faktorer, som biometri.

Är autentisering utan lösenord säker?

I allmänhet anses lösenordslös inloggning vara mycket säkrare än traditionella inloggningar som kräver att en användare matar in sina specifika autentiseringsuppgifter. Detta beror på att dessa inloggningssystem eliminerar behovet av lösenord och minskar risken för cyberattacker som brute-force-attacker eller ordboksattacker, tangentloggning , inloggningsuppgifter och Man-in-the-Middle-attacker . De är också mycket mer immuna mot risker för hacking och social ingenjörskonst, och mänsklig tröghet, vilket kan resultera i att du använder samma lösenord på flera konton och glömmer att uppdatera dem.

Men som med de flesta andra saker är lösenordsfri autentisering inte helt idiotsäker. Fast beslutna angripare kan fortfarande hitta sätt att hacka autentiseringssystem, oavsett hur sofistikerade de är. Hackare kan ha möjlighet att kapa e-postadresser, telefonnummer och till och med enheter för att fånga upp vissa typer av lösenordsautentisering, som till exempel engångstjänster och magiska länkar.

MFA VS. lösenordslös autentisering

Även om de kan verka likadana skiljer sig multifaktorautentisering (MFA) och lösenordslös autentisering något. I många fall använder MFA ett lösenord såväl som en annan form av verifiering, som t.ex. engångstjänster eller biometri. Men, som namnet antyder, eliminerar lösenordsfri säkerhet behovet för användare att ange ett lösenord.

Det finns dock situationer där två eller flera former av lösenordslös inloggning kombineras, och användare måste klara båda verifieringsprocesserna för att komma åt sina enheter eller konton. Detta kallas lösenordslöst MFA.

Vilka är de vanligaste exemplen på lösenordslös autentisering?

Traditionellt sett använder sig de flesta inloggningar av en kunskapsfaktor – ett lösenord – som alla fungerar på samma sätt – användare skapar unika kombinationer av siffror, bokstäver och/eller symboler och använder dessa tillsammans med ett användarnamn för att få åtkomst till sina enheter eller konton. Till skillnad från lösenord kan lösenordslös autentisering ha många olika former. Som nämnts innehåller lösenordsfri säkerhet vanligtvis minst en autentiseringsfaktor – vanligtvis inte kunskapsfaktorn – varför den är mer dynamisk än lösenord.

Certifikat

Många appar och internetanslutna programvaror använder digitala certifikat för att verifiera användarnas identiteter utan lösenord. I det här fallet kommer användarens personliga enhet att hålla en privat nyckel, medan servern för appen eller programvaran lagrar en offentlig nyckel. De två måste överensstämma på lämpligt sätt för att möjliggöra lösenordsfri autentisering.

Engångslösenord

Om du någonsin har undrat "Vad är OTP-autentisering?", får du här ditt svar: Även om användarna fortfarande måste skriva in dessa på sina enheter för att komma åt sina konton, anses engångslösenord vara en form av lösenordsfri autentisering. Det beror på att det är tillfälliga koder som användarna får via textmeddelanden eller autentiseringsappar; de är olika varje gång och går ut inom några minuter, så de anses vara säkrare än traditionella lösenord. Detta är en typ av innehavsfaktor, eftersom – i teorin – endast användaren har möjlighet att generera eller ta emot engångskoden.

Biometri

Många enheter och programvaror använder nuförtiden biometri för lösenordsinloggning. Dessa är inneboende faktorer eftersom de ger åtkomst med en användares unika fysiska egenskaper – till exempel fingeravtryck eller näthinnaundersökningar. iPhone är ett bra exempel på biometrisk autentisering eftersom de låter användare aktivera ansiktsigenkänning för att komma åt enheten och logga in på olika säkra konton, inklusive bankappar, som hjälper till att förhindra bankbedrägerier online .

Magiska länkar

Många populära internetbaserade programvaror erbjuder nu lösenordsfri autentisering med magiska länkar. Dessa är i huvudsak URL-token som användare kan använda för att logga in på konton genom att verifiera sin e-postadress eller telefonnummer. När användaren loggar in på ett konto som använder magisk länkverifiering, skickar systemet automatiskt en URL-länk till dennes registrerade e-postadress eller via meddelande till deras telefonnummer – användaren klickar sedan på länken för att logga in på kontot automatiskt. Detta är en annan typ av innehavsfaktor då den förutsätter att endast användaren har tillgång till sin e-post eller telefon.

Autentiseringsappar

Tredje parts autentiseringsappar, som de från Google och Microsoft, har blivit populära för lösenordslös inloggning. I det här fallet konfigurerar en användare en specifik autentiseringsapp – en som redan har gjorts kompatibel med kontotjänsten som används – med sina inloggningsuppgifter. När systemet har konfigurerats korrekt kommer användaren att få ett meddelande från appen varje gång de loggar in på sitt konto och måste antingen ange en OTP eller verifiera inloggningen för att få åtkomst.

FIDO-nyckeln

FIDO-nyckeln (Fast identity online) bygger på samma idé som digitala certifikat. När en användare registrerar sina inloggningsuppgifter genererar systemet ett kryptografiskt nyckelpar – den offentliga nyckeln lagras på systemservern och den privata nyckeln lagras på användarens enhet. Systemet autentiserar den privata nyckeln på användarens enhet för att ge åtkomst till kontot.

För- och nackdelar med lösenordsfri säkerhet

Företag vänder sig alltmer till lösenordsfri säkerhet för att skydda både interna och externa intressenter och hålla data säker. Men som med allt annat inom cybersäkerhet är det viktigt att förstå fördelarna och nackdelarna med lösenordsfri autentisering.

Fördelar med lösenordslös inloggning

Några av de positiva aspekterna med lösenordslös inloggning inkluderar:

• Det är säkrare än lösenord och är motståndskraftigt mot många cyberattacker.
• Användare tycker att det är litet underhållsfritt eftersom de inte behöver komma ihåg komplexa lösenord eller regelbundet ändra dem; det är också enklare för användare att aktivera på sina konton eller enheter.
• Företag som använder lösenordslös autentisering får vanligtvis mycket färre förfrågningar om support då behovet av lösenordsåterställning eller felsökning minskar.
• Dessa system är skalbara och vanligtvis mycket snabba och enkla att implementera.
• Det räcker ofta för att uppfylla efterlevnadskraven för dataskydd, inklusive Europeiska unionens allmänna dataskyddsförordning och California Consumer Privacy Act.
• Lägre förekomster av kontolåsning och övergivna kundvagnar.

Nackdelar med lösenordslös inloggning

Även om lösenordsfri autentisering har blivit allt mer populär på grund av den säkerhet den erbjuder, finns det några nackdelar, bland annat:

• I vissa fall kan det vara mer komplext och dyrare än enkla lösenord.
• System som använder biometri kan vara kluriga, eftersom biometriska autentiseringar inte kan återställas om de har äventyrats.
• Det finns ett antagande om att användaren kommer att använda en säker kanal när han eller hon upprättar en lösenordsfri inloggning, men så är inte alltid fallet – installationsprocessen kan äventyras.
• I vissa fall är dessa system inte idiotsäkra – till exempel kan engångstjänster fångas upp eller stjälas genom att byta SIM-kort .
• Vissa användare, särskilt de med mindre teknisk erfarenhet, kan vara ovilliga att använda lösenordslös inloggning om de har problem med systemen eller inte förstår dem.

Implementera lösenordslös autentisering

De flesta elektroniska enheter och tjänster erbjuder nu användarna alternativ för lösenordslös autentisering vid sidan av traditionella inloggningsmetoder. Var och en kommer att innehålla olika former, och de flesta kommer att rekommendera användare att aktivera detta som ytterligare säkerhet. För att möjliggöra lösenordsfri autentisering kan användarna helt enkelt navigera till inställningarna för den relevanta enheten eller kontot och välja lämpliga alternativ (vissa kan erbjuda mer än ett). Några av de vanligaste exemplen på lösenordslös inloggning för konsumenter är:

• Ansiktsigenkänning för iPhones och MacBooks
• OTP:er för regelbunden verifiering av Google-konton
• Magiska länkar för olika webbläsarbaserade appar och programvara

För användare som fortfarande vill använda lösenord men som också vill dra nytta av en form av lösenordslös inloggning, kan Kaspersky Password Manager hjälpa dig. Det kan inte bara generera komplexa, unika lösenord för varje konto, den lagrar alla i ett krypterat privat valv som inte kan ses av någon annan. Programmet erbjuder också säker inloggning genom att tillåta användare att automatiskt fylla i sina uppgifter på olika webbplatser, appar och enheter, och har en egen autentisering i appen som gör att användarna kan aktivera flerfaktorsautentisering på sina konton.

För företag är det viktigt att välja och implementera lösenordsfri säkerhet – särskilt om de erbjuder kundnära konton och enheter, eftersom det finns ett ytterligare behov av att hålla kundernas information säker. Det finns flera saker att tänka på när du gör detta:

• Välj den lämpligaste formen av lösenordsfri autentisering, till exempel biometrisk autentisering med fingeravtryck eller magiska länkar.
• Bestäm om en faktor räcker eller om kunderna kräver lösenordsfri MFA för ytterligare säkerhet.
• Leta efter och skaffa nödvändig hårdvara och/eller programvara.
• Se till att användarna kan registrera sig och använda det valda systemet på rätt sätt.

Att implementera lösenordslös inloggning på organisationsnivå kan vara utmanande och kräver betydande investeringar i tid och pengar. Av den anledningen väljer många att samarbeta med tredjepartsleverantörer för att snabbt och effektivt utföra denna speciella form av cybersäkerhet.

En lösenordslös framtid?

Med så många fördelar och vida överlägsen säkerhet jämfört med traditionella lösenord, verkar det som om lösenordsfri autentisering har en ljus framtid, särskilt med integrering med artificiell intelligens (AI) . Det kan hjälpa till att hålla användare och deras information säkra i en allt mer digital värld och erbjuda säkrare alternativ för distansarbete.

Det finns dock vissa utmaningar som kan behöva övervinnas om vi ska se lösenordsfri säkerhet tas upp i allt större antal. Dessa inkluderar att övervinna integritetsproblem, särskilt kring biometrisk autentisering, effektivisera den tekniska infrastrukturen, stärka användarnas förtroende och säkerställa efterlevnad av regelverk.

Relaterade artiklar och länkar:

• Tips för att skapa ett starkt och unikt lösenord
• Vad kan hackare göra med din e-postadress?
• De 10 största riskerna med onlinespel och hur du undviker dem

Relaterade produkter och tjänster:

• Kaspersky Premium
• Ladda ner Kaspersky Premium Antivirus med 30 dagars kostnadsfri provperiod
• Kaspersky Password Manager
• Kaspersky Security Awareness