Påloggingssikkerhet forklart
Påloggingssikkerhet gjør at bare ekte, autoriserte brukere kan få tilgang til nettbaserte kontoer, og at uønskede aktører holdes utenfor. For kriminelle er det en lukrativ virksomhet å hacke seg inn på de mange milliardene av brukerkontoer på nettet. Tidligere var det bare mulig å beskytte sensitiv personlig og økonomisk informasjon og bedriftsinformasjon i nettbaserte kontoer med kombinasjonen av brukernavn og passord. Men de anbefalte fremgangsmåtene for påloggingssikkerhet har utviklet seg i takt med systemene til de nettkriminelle – som alltid finner nye måter å avsløre passord på.
Moderne verktøy for påloggingssikkerhet er mer omfattende enn en enkel kombinasjon av brukernavn og passord. Bruken av godkjenningsmetoder som flerfaktorautentisering (MFA) bidrar til å bekrefte identiteten til ekte brukere med større grad av sikkerhet, samtidig som uønskede aktører stanses.
Hvorfor er påloggingssikkerhet viktig?
De anbefalte fremgangsmåtene for påloggingssikkerhet skal beskytte enkeltpersoner og virksomheter mot økonomisk tap og identitetstyveri. Personlige, digitale profiler på nettet er skattkamre av identitetsopplysninger, helsedata og bankkontonumre som hackere enten selv kan bruke eller selge på det mørke nettet.
For virksomheter er konsekvensene av et avslappet forhold til påloggingssikkerhet enda mer alvorlige. Virksomheter møter ytterligere trusler om store økonomiske tap, tyveri av immaterielle rettigheter, driftsavbrudd, juridiske problemer, eller et ødelagt omdømme sett med kundenes øyne.
Fordi mer avansert påloggingssikkerhet i stor grad reduserer alle disse risikoene, er det vel verdt å bruke tid og ressurser på å implementere den. Uten disse ekstra lagene av beskyttelse er virksomheten et enkelt mål for hackere – og mangel på handling blir et kostbart alternativ på lang sikt.
Trusler og sårbarheter innen påloggingssikkerhet
For å skape en strategi for brukeridentitet og -tilgang – spesielt i en tid hvor sikkert fjernarbeid tas på største alvor – er det viktig å forstå hvilken taktikk nettkriminelle bruker for å stjele passord. Her er noen viktige trusler du bør kjenne til:
Svake passord
Det er naturlig for oss mennesker å ville ha passord som er enkle å huske. Men det å bruke vanlige ord, setninger eller tallkombinasjoner som passord gjør brukere til enkle bytter for tyver, som benytter seg av automatisering for å hacke kontoer raskt. Passord som er laget ut fra ord i en ordliste, kan avsløres på bare noen sekunder.
Angrep med rå kraft
Angripere som bruker rå kraft benytter seg av prøve- og feilemetoden – fremskyndet av automatisering – til å skaffe seg uautorisert tilgang til kontoer. Dette er en enkel, foretrukket hackingmetode for å stjele påloggingsinformasjon, krypteringsnøkler og passord.
Angrep med sosial manipulering
Angripere som bruker sosial manipulering, benytter falsk informasjon for å lure brukere til å oppgi påloggingsinformasjonen sin frivillig. Phishing-svindel er for eksempel e-poster som ser ut til å komme fra seriøse selskaper, og som ber brukere gå til en falsk side for å logge seg på. Når brukeren gjør dette, kan de fange opp påloggingsinformasjonen. Lokking er en lignende type svindel, hvor brukeren overtales til å oppgi påloggingsinformasjon i bytte mot noe gratis.
Skadelig programvare
Skadelig programvare kan være virus, spionprogrammer og løsepengevirus. Hackere invaderer brukernes enheter med skadelig programvare for å stjele sensitiv informasjon. Skadelig programvare kan også være laget for å skade nettverk og systemer.
Spionprogram
Spionprogrammer er en type skadelig programvare som i hemmelighet registrerer for eksempel påloggingsinformasjon og nettleseraktivitet for deretter å kopiere det, slik at det kan brukes til identitetstyveri – eller selges til en tredjepart.
Brukeropplisting
Brukeropplisting, også kjent som katalogangrep, er når hackere bruker teknikker med rå kraft til å teste om et brukernavn er gyldig. Hackerne fyrer løs med vanlige ord, navn på ekte personer eller ord fra ordlister på påloggingssidene, for så å peile seg inn på de kombinasjonene som ikke gir resultatet «ugyldig brukernavn». Når hackerne finner et ekte brukernavn, kan de sette i gang med å hacke passordet.
Typer påloggingssikkerhet og godkjenningsmetoder
Det er viktig at virksomheter ligger et skritt foran angripere for å sikre at bare ekte brukere får tilgang til systemene deres. Her er noen typer tiltak for avansert påloggingssikkerhet som virksomheter kan gjøre for å styrke forsvaret sitt.
Flerfaktorautentisering (MFA)
Påloggingssikkerheten er mye sterkere når brukere blir spurt om enda et stykke informasjon for å bekrefte identiteten sin. Flerfaktorautentisering eller godkjenning med to faktorer (2FA) krever at brukere oppgir mer enn ett stykke ekstra informasjon for å bekrefte identiteten sin. MFA spør brukere om bekreftelse med en kombinasjon av noe de vet, noe de har og noe de er. Brukeren kjenner kanskje til et passord eller en PIN-kode, har en smarttelefon eller en sikker USB-nøkkel som er unik for vedkommende.
Brukere kan også stadig oftere benytte seg av enheter og apper som gjør det mulig å bekrefte identiteten ved hjelp av biometri. Med funksjoner for ansiktsgjenkjenning, talegjenkjenning og skanning av fingeravtrykk kan brukere benytte sine unike, biologiske kjennetegn til å få tilgang til kontoer på sikkert og praktisk vis.
Enkel pålogging (SSO)
Enkel pålogging gir brukere tilgang til alle appene sine på én enkelt plattform med bare ett sett med påloggingsinformasjon – i stedet for å måtte logge på hver av dem separat. Dette er ikke bare raskere, men bidrar også til å redusere risikoen for brudd ved å minimere gjenbruken av passord.
Godkjenning uten passord
Hvordan vil fremtidens påloggingssikkerhet se ut? Den vil være uten passord. Godkjenning uten passord setter en ny standard for identitets- og tilgangsstyring. Den har samme sikkerhet som godkjenning med to eller flere faktorer, men er mer brukervennlig. Plattformer uten passord har ingen fast påloggingsinformasjon, så hackere kan derfor ikke stjele den. I stedet kan brukere raskt bekrefte identiteten sin med noe de har, for eksempel en sikkerhetsnøkkel eller en godkjenningsapp på telefonen, eller med biometrisk skanning.
Anbefalte fremgangsmåter for påloggingssikkerhet
Jo sterkere policy for passordbeskyttelse du har, desto bedre vil den forsvare virksomheten mot kriminell aktivitet. Det er mange måter du kan forsterke organisasjonens påloggingssikkerhet på, selv om du har tusenvis av kunde- og ansattkontoer.
Begrens påloggingsforsøk
Angripere som bruker rå kraft, nyter det når de har uavbrutt tilgang til en påloggingsside. Ved å låse kontoer ute etter et gitt antall påloggingsforsøk kan du hindre blant annet disse taktikkene:
- Legitimasjonsfylling – å bruke lister med legitimasjon som er funnet i databrudd, og prøve dem på andre nettsteder.
- Passordspraying – å bruke vanlige passord til å prøve å hacke seg inn på flere kontoer.
- Ordlisteangrep – å bruke automatisering og fullstendige ordlister fulle av ord som mulige passord.
Krev mer enn én godkjenningsfaktor
Ved å legge til ekstra lag med identitetsbehandling gjennom flerfaktorautentisering dobler eller tredobler du sjansen for å avverge et cyberangrep. I tillegg reduserer du risikoen betydelig. Tapene i forbindelse med cyberangrep er på billioner av dollar hvert år, og flerfaktorautentisering blir et stadig mer kostnadseffektivt valg for virksomhetene.
Vurder godkjenning uten passord
Hackere liker passord, siden de er enkle å gjette seg frem til. Så hvorfor ikke bare droppe dem? I et scenario med godkjenning uten passord kan en person logge seg på ved å bruke en kombinasjon av biometriske faktorer, godkjenningsapper eller verktøy som USB-tokener eller merker til å fastslå identiteten sin med svært høy sikkerhetsgrad.
Løsninger for påloggingssikkerhet
Når det handler om identitets- og tilgangsstyring, lønner det seg å være litt sofistikert. Hvert ekstra lag med godkjenning du legger til i påloggingsprosedyren, reduserer i høy grad sannsynligheten for brudd. Det sikrer også at ekte brukere alltid har en trygg måte de kan få tilgang til kontoene sine på.
Selv om du gjør den anbefalte fremgangmåten for påloggingssikkerhet mer kompleks, trenger ikke dette å bety at opplevelsen blir tidkrevende og frustrerende for brukerne. Microsoft hjelper virksomheter med å ta skrittet videre fra enkel godkjenning med sømløse og sikre verktøy. Azure AD Passordbeskyttelse beskytter virksomheten ved å håndheve strenge passordpolicyer, oppdage og blokkere svake passord og gi brukere muligheten til selvbetjent tilbakestilling av passord.
Mer informasjon om Microsoft Sikkerhet
Beskytt kontoer med flerfaktorautentisering
Finn ut hvordan flerfaktorautentisering (MFA) gir sikrere tilgang til kontoer.
Utforsk enkel pålogging
Finn ut hvordan enkel pålogging (SSO) forenkler tilgangen til alle appene dine.
Vanlige spørsmål
-
Sikker pålogging er en prosess for å få tilgang til kontoer som benytter mer enn én metode for å bekrefte brukerens identitet. Å bekrefte brukerens identitet med en høyere grad av sikkerhet reduserer risikoen for identitetstyveri.
-
Beskytt påloggingsinformasjonen din ved å opprette sterke passord, bruke teknologi uten passord der det er mulig, og bruke godkjenningsmetoder med flere faktorer eller biometri.
-
Sterke passord inneholder ikke vanlige ord og tallmønstre som er enkle å gjette. Hackere har vanskeligere for å avsløre passord som bruker komplekse kombinasjoner av store og små bokstaver og spesialtegn. Prøv å ikke bruke det samme passordet for flere kontoer.
-
En godkjenningsmetode er en forespørsel som sendes fra en app eller et system til en bruker for at vedkommende skal bekrefte identiteten sin. Dette kan være en teknologi uten passord eller et ekstra bekreftelsestrinn etter at brukeren har oppgitt et passord.
-
Passordet ditt skal sikre at sensitiv personlig informasjon og forretningsinformasjon ikke kommer i hendene på kriminelle, som har tenkt å bruke den til ulovlige formål. Identitetstyveri og forretningsmessige tap som skyldes cyberangrep, kan forebygges med forbedret passordsikkerhet.