Pierre Vanderpol

Inloggning - går användbarhet och säkerhet ihop?

2019-12-13 Artikelbanken Blogg Kravhantering Test Läst 1145 gånger


Användarvänliga inloggningstekniker

Om du googlar ”problem med lösenord” så får du över 10 miljoner träffar. Det finns ingen brist på problem med just lösenordsbaserade inloggningar. Inloggningsfunktionen är ett gränssnitt mellan kunder och digitala tjänster som skapar friktion. Alldeles för sällan är det just inloggningsfunktionen som vi ger hög prioritet i vår systemutveckling. Trots att vi känner till problemen ligger ofta frågor om autentisering i botten på vår backlog. Det är så gått som alltid något annat i produkten, i systemet, som är viktigare.

"Men varför ska vi lägga tid och pengar för att skapa bättre inloggningsupplevelse i stället för att leverera nya features som ger oss pengar?"


Kan vi inte bara fortsätta med lösenordet?

Lösenord är inte en säker teknik: forskning från The Digital Guardian visar att 10% av användarna aldrig byter lösenord. När lösenordet i sig dessutom är namnet på någons husdjur eller barnens födelsedag kan det knäckas med hjälp av den information som finns på sociala medier eller offentliga hemsidor [1].

Eftersom antalet tjänster vi använder växer kontinuerligt behöver vi hålla koll på fler och fler lösenord. Generellt använder vi och återanvänder vi liknande eller samma lösenord överallt. När ett av dina konton kapas kommer nog dina andra konton bli kapade inom kort.

57% av de tillfrågade anser att de i framtiden skulle föredra inloggningsmetoder som inte alls involverar lösenord [1]. Vi klarar inte av att hantera mängder av komplexa lösenord. Dessutom ger dagens lösenordsbaserade tekniker mindre bra skydd än andra tillgängliga tekniker.

Ett populärt alternativ för att skapa och lagra unika starka lösenord är att använda en lösenordshanterare. Appar som KeePass, Avast Password, 1Password, LastPass och Dashlane lagrar alla dina inloggningsuppgifter så att du inte behöver komma ihåg något förutom lösenordet till lösenordshanteraren. Sådana lösningar underlättar det digitala livet men det finns nackdelar att vara observant på:

Om din lösenordshanterare blir kapad kan alla dina lösenord äventyras. Glömmer du huvudlösenordet förlorar du tillgången till alla dina lösenord. En annan risk är att det inte finns någon garanti att apparna är buggfria eller att din data inte säljs vidare till andra bolag (enligt Forbes säljer Avast vidare användarinformation [2]). Om det är viktigt för dig att dela lösenord mellan dina enheter kan det kosta extra pengar, vara krångligt eller inte ens möjligt. En annan fråga vid delning av känslig information via molnet är om dina uppgifter lagras i länder som följer GDPR eller skyddar dina intressen.


Dataintrång kostar pengar

När kundernas lösenord kapas kan en åtgärd kosta stora summor att hantera. Enligt en studie från FIDO Alliance, kostar ett dataintrång i genomsnitt omkring 37 miljoner kronor. En rapport från IBM [3] sätter priset till ungefär 1 500 kronor per hackat konto. Vad skulle kostnaden bli för ditt företag? Lägg sedan till kostnaderna för varumärkesskada och frustration för dina användare.


Hur bra är flerfaktorsautentisering?

Även flerfaktorsautentisering har sina brister. Dessutom plågas användarna ofta av dålig användbarhet eller växande säkerhetsbrister. I en rapport från FBI listas flera fall av vanliga dataintrång som konsekvens när flerfaktorsautentisering används [4]. Ett utskick av engångslösenord via sms är inget heltäckande skydd mot social-engineering eller nätfiskeattacker [5]. Om en person eller en programvara fångar koden kan den tyvärr användas för att ta kontroll över din data. Det är säkrare att använda appar för autentisering, från exempelvis Microsoft eller Google. Nackdelen är att dessa ofta är krångligare att använda, med en del behov av inställningar för att komma igång. Flerfaktorsautentisering är alltså inte heller den perfekta lösningen ur ett säkerhets- och användbarhetsperspektiv.


Ny standard löser en del

Den nya standarden WebAuthn (Web Authentication) erbjuder både säkerhet och användarvänlighet genom lösenordsfria autentiseringar. WebAuthn lanserades av FIDO Alliance [6] i mars 2019. Tekniken fungerar så att en användare kan logga in utan att behöva använda lösenord: du kan godkänna inloggningen via en app på din mobil eller med en hårdvarunyckel. Med biometriskt data som fingeravtryck eller ansiktsigenkänning låser du upp dina appar och konton, vilket i sig inte är något nytt. Men det fina med WebAuthn är att din biometriska data inte lämnar din mobil. En annan fördel med FIDO2/WebAuthn är att den är byggd för att följa GDPR genom att varken lösenord eller biometrisk data lagras på något annat ställe än i användarens egen mobiltelefon [7]. Ännu finns det inte så många webbplatser som erbjuder FIDO2/WebAuthn, men antalet enheter och tjänster som stöder det lösenordslösa protokollet växer varje dag [8].


10 punkter för bättre autentisering

  1. Erbjud flera sätt att logga in. Autentisering är en viktig del av kundens upplevelse.
  2. Kan du inte ersätta din lösenordslösning bör du minimera risken med flerfaktorsautentisering.
  3. Håll koll på dina beroenden: det kan finnas flera team som är inblandade i autentiseringsprocessen.
  4. Vilka webbläsare och telefoner behöver du ha stöd för? Vilka versioner av operativsystem? Äldre system har ofta inte stöd för de senaste teknikerna.
  5. Om din organisation migrerar till en molntjänst kan tjänsteleverantören erbjuda lösenordsfria lösningar.
  6. Tänk testning tidigt. Tänk DevOps. Förbered dina testfall och automatisera allt som går att automatisera med schemalagd testning.
  7. Kolla på statistiken till den webbplats för att se vilka mobiler dina användare har och fokusera på dessa modeller i dina tester.
  8. Anlita en så kallad device-farm för att testa din kod om du inte har tillgång till samma hårdvara som användarna.
  9. Se till att du har en IT-säkerhetsspecialist i teamet för att testa att ditt system klarar en attack.
  10. Om det sker ett dataintrång är det viktigt att du har en incidenthanteringsplan. Planera på förhand med resurser redo för att hantera en kris. Har du ett utsett dataskyddsombud, så stäm av med denne om hur ni ska planera.


Slutord

Nya IT-hot och tekniska framsteg gör att allt fler inloggningar kommer vara lösenordsfria i en snar framtid. Migrering till mer moderna inloggningslösningar innebär ofta tekniska och organisatoriska förändringar. Förhoppningsvis har du nu fått inspiration och tips som kan hjälpa dig att börja arbeta mot en smidigare och säkrare autentiseringslösning.

[1] Lösenord fortfarande svag länk – nya tekniker krävs

[2] Are you one of Avast's 400 million users?

[3] IBM: Cost of a Data Breach Report highlights 

[4] FBI: Cybercriminals Are Bypassing Multifactor Authentication  

[5] One Time Password 

[6] FIDO Simpler, Stronger Authentication Solving the World's Password Problem 

[7] FIDO Authentication for GDPR 

[8] Webauthn har blivit standard – logga in utan lösenord 

Dela artikeln