Sikkerhet

Én feil kan åpne døra for hackerne – derfor bør bedrifter tenke Passkeys

En travel morgen. En SMS. Et raskt klikk. Plutselig har angripere tilgang til både e-post, kundedata og økonomisystemer. Det kan skje hvem som helst i din bedrift. Med Passkeys kan du fjerne hele inngangsbilletten angriperne er ute etter: passordet.

Person arbeider på laptop i et moderne beskyttet med passkeys

Dette kan skje deg

La meg starte med et tenkt scenario. Dette har ikke skjedd – men det kunne like gjerne ha gjort det, og det kan skje hvem som helst.

Tenk deg at du nettopp har satt deg med kaffekoppen. Morgenmøtet venter. Så plinger mobilen: en SMS, tilsynelatende fra banken. «Vi har oppdaget uregelmessig aktivitet. Klikk her for å logge inn og bekrefte.»

Du er stresset, kanskje litt uoppmerksom, og taster raskt inn brukernavn og passord. Nettsiden ser helt ekte ut. Du tenker at du kan sjekke mer senere – møtet kan ikke vente.

En uskyldig handling – men i en jobbkontekst kunne det hatt katastrofale konsekvenser for hele bedriften.

Når passordet ikke lenger holder

Vi har lært at sterke passord og tofaktor er svaret. Men angriperne har for lengst lært å omgå begge deler. Phishing, smishing og mer sofistikerte svindler utnytter stress, rutiner og menneskelige feil.

I podkasten vår "Snakk om sikkerhet" sier ekspertene det rett ut:

«Med passkeys blir phishing irrelevant – det finnes ikke lenger noe passord å stjele.»

Det er dette som er selve kjernen. Når du ikke lenger har et passord å oppgi, forsvinner hele grunnlaget for de fleste svindelmetodene. Den sensitive informasjonen som svindlerne hele tiden jakter på har gått opp i røyk.

Hva er en passkey, og hvordan fungerer det for bedrifter?

En passkey er en unik digital nøkkel, opprettet mellom deg og tjenesten du logger inn på. Den består av et nøkkelpar:

  • Privat nøkkel lagret sikkert på din enhet

  • Offentlig nøkkel lagret hos tjenesten

Neste gang du logger inn, bekrefter du deg med fingeravtrykk eller biometri. Ingen passord tastes inn, ingenting sendes over nettet. Selv en falsk nettside kan ikke lure ut en passkey – den er bundet til riktig tjeneste.

Et scenario fra arbeidsdagen

Se for deg en kollega i økonomiavdelingen. Hun får en e-post som tilsynelatende er fra IT, der hun blir bedt om å logge inn på «det nye sikkerhetsdashbordet». Hun stresser, alt haster, logger inn – og vipps så har angriperen fått tilgang til bedriftskontoen hennes.

Derfra kan de sende falske fakturaer, hente ut kundedata og ta seg videre inn i nettverket.

Med passkeys stopper det ved inngangsdøra. Hun har ikke noe passord å oppgi. Angriperens svindel blir verdiløs. De får ikke tak i informasjonen de trenger for å logge seg inn i bedriftens systemer.

En av våre sikkerhetseksperter: – Nå er tiden inne

En av våre sikkerhetseksperter peker på at passkeys kan være en game-changer for norske bedrifter:

– Mange virksomheter undervurderer hvor enkelt det er for angripere å få tak i passord. Selv sterke passord kombinert med tofaktor kan omgås. Passkeys gjør denne typen angrep dramatisk vanskeligere, samtidig som de faktisk gjør hverdagen enklere for ansatte.

Eksperten anbefaler bedrifter å ta konkrete skritt allerede nå:

  1. Kartlegg hvilke systemer og tjenester som støtter passkeys.

  2. Start pilotprosjekter i avdelinger med høy risiko eller mye kundedata.

  3. Kombiner teknologi og kultur – opplæring er avgjørende, ansatte må forstå hvorfor dette er tryggere.

– Det viktigste er å starte. Passkeys blir raskt standard i store økosystemer. De bedriftene som venter, risikerer å bli stående med den svakeste løsningen når angrepene treffer, sier eksperten.

Mulige angrepsvektorer – også i passkey-verdenen

Selv om passkeys er et stort steg fremover, finnes det også diskusjoner om hvordan angripere kan forsøke å utnytte nye angrepsflater. I podden #7 – Slik kan angripere lure seg rundt passkey-autentisering pekes det på scenarier der angripere kan bruke blant annet QR-koder eller lure brukere inn i manipulerte autentiseringsflyter.

«Slik kan angripere lure seg rundt passkey-autentisering …»

Poenget er ikke at passkeys er usikre – men at bedrifter må kombinere teknologien med bevissthet, gode rutiner og riktig implementasjon.

NSM anbefaler phishing-resistent autentisering

Også Nasjonal sikkerhetsmyndighet (NSM) er tydelige i sine råd. I et varsel fra Nasjonalt cybersikkerhetssenter anbefaler de norske virksomheter å gå bort fra tradisjonelle passord- og kodebaserte løsninger, og over til phishing-resistent autentisering.

Dette innebærer metoder der brukerne ikke kan lures til å oppgi påloggingsinformasjon – nettopp slik som passkeys. Når sikkerhetsmyndighetene selv anbefaler en overgang, understreker det at dette ikke lenger bare er et teknologisk «fremtidstema», men et pågående sikkerhetskrav alle norske virksomheter bør ta på alvor.

Fordeler med Passkeys for bedrifter

Det beste er at passkeys ikke oppleves som nok et sikkerhetstiltak som sinker arbeidsflyten. Tvert imot:

  • Ingen glemte passord

  • Ingen frustrerende «reset»-prosesser

  • Raskere innlogging med finger eller ansikt

For bedriften betyr dette mindre trykk på IT-support, færre sikkerhetsbrudd, og et klart signal til kunder og partnere om at man tar sikkerhet på alvor.

Konklusjon

Én feil kan åpne døra for hackerne. Et øyeblikks uoppmerksomhet, et tastetrykk – og plutselig har angripere fått innpass i virksomheten din. Men det trenger ikke være slik.

Med passkeys kan du fjerne selve det svake punktet: passordet. Kombiner dette med råd fra sikkerhetseksperter, og du gir både ansatte og bedriften en enklere og sikrere digital hverdag.

Spørsmålet er ikke om dere bør ta passkeys i bruk, men når. Og svaret bør være: før cyberangrepet treffer deg.

Ofte stilte spørsmål om Passkeys

Hva er en passkey?
En passkey er en sikker erstatning for passord. Den bruker et digitalt nøkkelpar mellom brukeren og tjenesten, og autentiseres med fingeravtrykk, biometri eller PIN.

Hvorfor bør bedrifter ta i bruk passkeys?
Passkeys gjør phishing-angrep irrelevante, reduserer risikoen for datainnbrudd og sparer tid og kostnader på IT-support.

Hvordan fungerer passkeys i praksis?
Når du logger inn, bekrefter du deg selv med finger eller biometri. Den private nøkkelen forlater aldri enheten, og det er dermed ingenting angripere kan stjele.

Hvordan kan en bedrift komme i gang?
Start med å kartlegge hvilke systemer som støtter passkeys, gjennomfør et pilotprosjekt i en avdeling med høy risiko, og gi opplæring til ansatte.

Passkey (norsk: passnøkkel)

En passkey er en ny innloggingsmetode som erstatter passord med et kryptert nøkkelpar. Brukeren identifiserer seg med biometriske data (fingeravtrykk eller ansikt), og det sendes aldri et passord over nettet. Dette gjør phishing og passordlekkasjer irrelevante.

Phishing stopper ikke av seg selv – men du kan stoppe det.

Snakk med oss om hvordan passkeys kan gjøre hverdagen både enklere og tryggere for dine ansatte.

Ta kontakt

Relaterte artikler

Deepfake – den digitale trusselen du ikke kan ignorere

Sikkerhet

Deepfake – den digitale trusselen du ikke kan ignorere

Privileged Access Management - moderne cybersikkerhet

Sikkerhet

Hva er PAM (Privileged Access Management)

Mobil blokkeringsvarsel vises når person klikker på skadelig lenke og har tjenesten SafeZone

Sikkerhet

Klikket som kunne ødelagt alt … om det ikke ble stoppet