De fyra huvudpelarna inom Zero Trust

Vi har tidigare pratat om konceptet Zero Trust (läs här). Vi tänkte nu gå lite djupare in på det och börja med att berätta om den del vi kallar identitetshantering.

Identitetsskydd

Något alla känner till är problemet med identitetsstölder. Det händer tyvärr rätt ofta och är även vanligt bland företag. Särskilt för de som har betydande roller. Ju mer du vet desto mer utsatt blir du.

Vi kommer nedan gå igenom olika lösenordsvarianter:

  1. Det klassiska lösenordet
  2. Tvåstegsverifiering
  3. Säkerhetsnycklar och biometrisk identifikation

Det klassiska lösenordet

Ofta är det hyfsat lätt, tolka lätt med en nypa salt, att sno en identitet. Många har samma användarnamn (läs mailadress) på många olika platser och lösenorden brukar inte variera särskilt mycket, om ens något. Har du som företagsledare samma lösenord på Facebook, Linkedin, Snapchat, din privata mail och till din företagsdator som är kopplad till företagets nätverk, ja då bör du alltså tänka till en gång extra. Lösenord är trots allt det klassiska sättet för oss att verifiera oss så det här problemet är inget konstigt utan tyvärr väldigt vanligt. En del använder sig av lösenordshanterare eller använder någon form av egen algoritm för att komma ihåg sitt lösenord. Men trots allt kan vi inte komma undan det faktum att lösenord fortfarande är statiskt och inte förändrar sig. Användarvänligt? Knappast!

Tvåstegsverifiering

Det finns många alternativ till lösenord, t. ex tvåstegsverifiering. Ni som inte känner till det har säkert träffat på det på flera ställen. Det innebär att man loggar in med sitt användarnamn och lösenord, blir sedan ombedd att verifiera sig på något annat sätt – t. ex via en app i mobilen, en kod som kommer som ett SMS etc. Användarvänligheten vid andra typer av inloggningsmetoder ska samtidigt inte glömmas bort och att förenkla för användaren är något man måste eftersträva när man väljer en ny typ av autentiseringsmetod. När man därför väljer att implementera något nytt ska man alltid tänka på funktionalitet ur ett användarperspektiv – samtidigt som det ska vara så säkert som möjligt. Ett exempel är att kräva mindre komplexa lösenord, färre lösenordsbyten eller helt enkelt inget lösenord alls, s.k. passwordless autentisering. Det sistnämnda är verkligen användarvänligt, och behöver inte alls innebära att det inte är säkert – tvärtom.

Säkerhetsnycklar och biometrisk identifikation

Det finns olika säkerhetsnycklar som går att använda istället för lösenord. Företaget Yubico har tagit fram en produkt som heter Yubikey som gör så att användaren kan verifiera sig på ett säkert sätt. Det anses t.o.m. vara så säkert att teknologin användes under valet i USA. Man kan även använda sig av biometriska inloggningar men tyvärr sätter GDPR käppar i hjulet för detta. En biometrisk identifierare är en känslig personuppgift som kräver samtycke för att behandla vilket man ju inte kan få från sina anställda eftersom en anställd anses vara i beroendeställning till företaget. Men även om ett företag inte kan tvinga en anställd till att använda sig av biometrisk identifikation kan det alltid erbjuda den möjligheten.

Viktigt att inte glömma är att lösenord är osäkert, jobbigt och krångligt. Och om man baserar sina lösenord på ord så blir de också enklare att knäcka. Tänk därför på vilka möjligheter som finns för just er när det kommer till säkerhet.

Här är några tips att kolla upp

  • Azure Multifaktor Autentisering (Azure MFA)
  • Yubikey, säkerhetsnycklar
  • Duo Security, tvåstegsverifiering för företag
  • RSA, etablerad organisation med lång erfarenhet och ett stort utbud av säkerhetsprodukte
  • Freja eID, ett alternativ till BankID
Vill du veta mer om Zero Trust-modellen?

Kontakta oss så bokar vi in ett möte för att pratar om era utmaningar och behov.