Advitum Svarar – Kan man avveckla lösenorden med Windows Hello for Business?
Denna blogg kommer att ta upp frågan om man helt eller delvis kan avveckla lösenorden med Windows Hello for Business.
Bloggen är till för dig som vill veta mer kring hur man ökar IT-säkerheten samtidigt som man förenklar inloggning och autentisering radikalt för slutanvändarna.
Bloggen kommer också att beskriva vilka kostnader och kostnadsbesparingar man kan förvänta sig samt slutligen och förslag på nästa steg.
Se också vår film om Windows Hello for Business
Utmaningen
Om man googlar på Passwordless får man drygt 1 miljon träffar och de första träffarna är företag som erbjuder olika lösningar för att avveckla behovet av lösenord hos företag och organisationer.
Trots det slåss de flesta IT-avdelningar fortfarande med att få igenom kravet på komplexa lösenord och MFA-lösningar både med företagsledningen och med organisationens användare, varför är det så?
Lösenord har länge varit ett hett omdebatterat ämne i IT-världen och kommer säkert att så förbli under många år framöver. Trots stora framsteg kring olika mekanismer för multifaktorautentisering och passwordless så kvarstår faktum att en stor del av alla Cyberattacker härrör ifrån stulna lösenord. (80% av alla attacker riktar sig mot lösenord)
För att konkretisera några punkter kring utmaningarna kan man begrunda nedan
- Ej komplexa lösenord
- Svaga och spridda lösenord
- Ingen MFA via extern åtkomst
- Ingen lösenordshanterare
- För många administratörer
Vad skall man då prioritera? Innan man gör något annat bör man se till så att de fem bristerna ovan är åtgärdade, först därefter kan det vara lämpligt att gå vidare med exempelvis Passwordless som vi kommer att belysa under resten av denna bloggpost.
Lösningen
Det mest kända exemplet på hur man uppnår Passwordless är troligen Windows Hello for Business som är inbyggt i Windows 10 och Windows 11 (vissa versioner) och nu har Microsoft uttryckligen som målsättning att alla deras kunder ska kunna använda teknologin , se mer info på A breakthrough year for passwordless technology – Microsoft Security
Vad är då definitionen av Passwordless login? Den vanligaste och mest vedertagna definitionen verkar vara
”En metod att verifiera din identitet utan att användaren behöver ange ett lösenord”
Det kan låta enkelt men oftast ligger det inte en enskild produkt bakom utan det är mer som ett mål eller ett resultat, till skillnad mot exempelvis MFA eller SSO där det ofta motsvaras av en viss produkt.
Målet är att införa produkter och teknologier som medför att användarna så sällan som möjligt (och optimalt aldrig) behöver ange sitt lösenord. Ett vanligt exempel är ansiktsigenkänning eller det som kallas adaptiv MFA där bland annat analys av användarmönster till viss del avgör om lösenord behöver anges eller inte.
Arbetsgången för Passwordless handlar mer om att successivt minimera de scenarier där användaren behöver ange sitt lösenord istället som med många andra projekt där det ofta kan vara en så kallad Big-Bang. Exempelvis kan man tillåta användaren att logga in utan lösenord om han loggar in från samma plats och samma tid många dagar i sträck, man kan ske bara ska kräva lösenordet första gången han loggar in i början av veckan.
När man utvärderar olika varianter av autentisering brukar man dela upp i olika så kallade faktorer som i sin tur delas upp i tre delar
- Något du vet (lösenord, PIN)
- Något du har (Dator, mobil, FIDO authenticator, RSA-dosa)
- Något du är (ansiktsigenkänning, fingeravtryck, ekg)
Fördelar
Det finns så klart flera fördelar med att implementera Windows Hello for Business men de två i särklass största är
- Ökat IT-säkerhet
- Enklare och effektivare för användaren
När det gäller IT-säkerheten så utförs den i särklass största andelen intrång genom att man på ett eller annat sätt kommit över en användares inloggningsuppgifter och det säger sig självt att om användaren inte använder sitt lösenord och man dessutom kan öka komplexiteten så minskar risken för läckande användaruppgifter radikalt.
Detta ger också den positiva effekten att användaren oftast kan logga in utan att ange lösenordet och i många fall med enbart en PIN-kod eller någon form av biometri.
Advitums erfarenhet
Advitum har hjälpt flera organisationer att implementera Windows Hello for Business och en av de viktigaste insikterna är att det inte är en big-bang utan en successiv implementation där man i bästa fall tar användargrupperna successivt och samtidigt lägger stor kraft på stöd och utbildning under utrullningen.
Viktigt är att inkludera servicedesk tidigt i projektet för det kommer oundvikligen en hel del frågor från slutanvändarna.
Vidare är det väldigt viktigt att verifiera att befintlig lösenordspolicy lever upp till de krav man bestämmer under implementationen, om så inte är fallet måste det åtgärdas innan utrullningen.
Konkret tips: Börja med att säkerställ att er lösenordspolicy är genomarbetad och implementeras innan implementation av Windows Hello for Business
Kostnadsstruktur
Om man väljer Microsofts lösning för Passwordless så ingår teknologin i de flesta versioner av Windows 10 och Windows 11. Det som tillkommer är så klart kostnaden för tiden i samband med implementationsprojektet. Tidsåtgången beror till stor del på storleken på organisationen.
Om man dessutom väljer att använda någon form av token, antingen mjukvara eller hårdvara, så tillkommer det också en kostnad.
De mest påtagliga kostnadsbesparingarna är kopplade till en ökad effektivitet för användarna och färre samtal till servicedesk kring lösenordshantering.
En kostnadsbesparing som däremot är svår att förutse är de Cyberattacker som man undviker genom att höja IT-säkerheten radikalt, men det gå så klart att räkna på sannolikheten multiplicerat med kostnaden men det blir mer teoretiskt.
Vad gör vi nu?
Vårt första tips är att börja med utmaningarna i första stycket i denna blogg, gå igenom de punkterna och först därefter påbörja arbetet med en lösenordspolicy för organisationen.
Nästa steg blir sedan att planera för ett införande av Windows Hello for Busieness.
Vill ni ha stöd eller diskutera med oss på Advitum som tidigare hjälpt organisationer likt er så är det bara att skicka ett mail eller slå en signal.
Vi rekommenderar också att se vår film om Windows Hello for Business.
Marcus Ekström
072-200 99 56
marcus.ekstrom@advitum.se