Lösenordsfri autentisering växer snabbt – och jag förstår verkligen varför. Mindre krångel, högre säkerhet och en bättre användarupplevelse. Men när lösenorden försvinner måste vi tänka om kring hur vi hanterar risker.
I den här bloggposten delar jag med mig av hur du kan använda Microsoft Entra ID Protection för att säkra lösenordsfria konton och skapa en riktigt robust säkerhetsstrategi.
Varför lösenordsfri autentisering kräver nya riskpolicys
När vi tar bort lösenord ur ekvationen eliminerar vi visserligen en vanlig attackvektor – men nya hot tar dess plats. Tokenstöld, kapade sessionscookies och andra metoder riktar sig nu mot de autentiseringstokens vi använder istället.
Det räcker alltså inte att bara slå på lösenordsfri inloggning och känna sig klar – vi behöver också uppdatera våra riskpolicys för att fånga upp nya typer av attacker.
Microsoft Entra ID Protection hjälper oss att göra just detta genom riskbaserade villkorliga åtkomstpolicys som automatiskt kan reagera på misstänkt beteende.
Förstå skillnaden: användarrisk vs inloggningsrisk
En viktig sak att ha koll på är skillnaden mellan användarrisk och inloggningsrisk. De låter lika, men betyder olika saker:
- Användarrisk handlar om att ett konto i sig verkar vara komprometterat. Här ska vi vara hårda – ofta krävs återställning av autentisering för att skydda kontot.
- Inloggningsrisk handlar istället om att just en specifik inloggning verkar misstänkt. Här kan vi ofta nöja oss med att kräva en extra verifiering, som MFA, för att säkerställa att det är rätt person.
Att separera dessa två risktyper är nyckeln till att både skydda konton och undvika onödig frustration för användarna.
Tänk på både lösenordsanvändare och lösenordsfria användare
Ingen organisation byter till lösenordsfritt över en natt.
I verkligheten kommer du ha en blandning av användare ett bra tag: vissa som loggar in med lösenord, andra som använder passkeys, Windows Hello eller FIDO2.
Därför är det smart att ha policys som fångar upp båda grupperna under övergångsperioden.
Ett exempel är att kräva starkare verifiering vid inloggningsrisk oavsett vilken metod som används.
Det här kan kännas lite rörigt i början – men tro mig, det är värt det för att hålla alla säkra.
Skydda dina kritiska konton
En fälla som är lätt att hamna i är att av misstag låsa ute sig själv.
Därför bör vissa konton alltid exkluderas från riskbaserade blockeringar, till exempel:
- Break-glass-konton: konton som används i nödsituationer för att återställa åtkomst.
- Tjänstekonton: konton som används av system och applikationer, som inte har någon mänsklig användare.
Se till att du har en tydlig plan för hur dessa konton skyddas på andra sätt, men håll dem utanför dina automatiska riskpolicys.
Anpassa risknivåerna efter din verksamhet
Alla företag är olika.
En global bank och ett mindre konsultbolag behöver inte exakt samma risktrösklar.
Mitt tips är att börja ganska strikt: till exempel blockera höga risknivåer direkt och kräva extra verifiering vid medium risk.
När du ser hur det fungerar i praktiken kan du justera – men det är alltid bättre att börja säkrare än tvärtom.
Sammanfattning
Lösenordsfri autentisering är här för att stanna, men säkerhet handlar alltid om att ligga steget före hoten.
Genom att anpassa dina riskpolicys i Microsoft Entra ID Protection skyddar du både användarna och din verksamhet – utan att kompromissa med användarupplevelsen.
Min rekommendation? Ta en timme i veckan och granska era nuvarande inställningar. Små förändringar kan göra en enorm skillnad!
Ta hand om er där ute!
/Linnea