Den klassiske kombinasjonen av brukernavn og passord har i flere tiår vært selve fundamentet i digital sikkerhet. Nå er den i ferd med å bli et sikkerhetsproblem. I rapporten “5-Step Path to Passwordless – The Future of Authentication” argumenterer Cisco Duo for at passordet ikke bare er utdatert, men også en strukturell svakhet i moderne IT-arkitektur.
Samtidig tegner rapporten opp et konkret veikart for hvordan virksomheter kan bevege seg mot en passordfri fremtid – en utvikling som ikke lenger fremstår som eksperimentell, men som en nødvendig modernisering av cybersikkerhet.
Passordet som systemsvakhet
Rapportens utgangspunkt er tydelig: passord er ikke bare upraktiske – de er en kostbar og risikofylt løsning. Store virksomheter bruker årlig betydelige ressurser på passordrelatert support, med enkelte amerikanske selskaper som rapporterer kostnader på over én million dollar i året.
Samtidig øker angrepsflaten. Ifølge rapporten er milliarder av passord allerede kompromittert, og teknikker som phishing, credential stuffing og brute force-angrep gjør det stadig enklere å utnytte svakhetene i passordbasert autentisering.
Dette forsterkes av menneskelige faktorer. En gjennomsnittlig ansatt må håndtere et stort antall passord, noe som fører til gjenbruk, svake passord og lav sikkerhetsbevissthet. Resultatet er en sikkerhetsmodell som i praksis er avhengig av brukernes disiplin – et svakt premiss i en kompleks digital virkelighet.
Fra passord til identitet
Løsningen Cisco skisserer er ikke en forbedring av passordet, men en erstatning. Passordfri autentisering baserer seg på en kombinasjon av det brukeren har og det brukeren er – eksempelvis en enhet og biometriske data – i stedet for det brukeren vet.
Dette representerer et skifte fra hemmeligheter til identitet. I stedet for å beskytte en kode, verifiserer systemet en person gjennom sikre kryptografiske mekanismer, ofte basert på åpne standarder som WebAuthn og FIDO2.
Konsekvensene er betydelige. Rapporten peker på tre sentrale effekter: bedre brukeropplevelse, lavere kostnader og en styrket sikkerhetsposisjon. Når passordet fjernes, forsvinner også en rekke angrepsvektorer som tradisjonelt har vært vanskelige å kontrollere.
En gradvis transformasjon
Til tross for fordelene understreker rapporten at overgangen til passordfri autentisering ikke kan skje over natten. Moderne virksomheter opererer i hybride IT-miljøer med både skybaserte og lokale systemer, noe som gjør en total omlegging kompleks.
Cisco anbefaler derfor en trinnvis tilnærming. Første steg handler om å identifisere konkrete bruksområder og styrke autentisering gjennom flerfaktor-løsninger. Deretter følger en konsolidering av autentiseringsprosesser, ofte gjennom single sign-on-løsninger som reduserer behovet for gjentatte innlogginger.
Videre introduseres mer avanserte mekanismer som adaptiv autentisering og enhetstillit, hvor tilgang vurderes basert på kontekst som enhet, lokasjon og brukeradferd. Først deretter kan virksomheten gå over til full passordfri autentisering, før løsningen optimaliseres og utvides til alle systemer.
Det sentrale poenget er at passordfri sikkerhet ikke er et produkt, men et økosystem.
Et case i stor skala
For å underbygge argumentasjonen viser rapporten til Ciscos egen implementering. Selskapet rullet i 2023 ut passordfri autentisering til over 130.000 brukere etter en flerårig pilotfase.
Resultatene er bemerkelsesverdige. Ifølge rapporten ble løsningen implementert med høy brukeradopsjon og minimale problemer, samtidig som behovet for helpdesk-støtte ble redusert betydelig. Dette peker på et viktig poeng: når sikkerhetstiltak også forbedrer brukeropplevelsen, øker sannsynligheten for vellykket implementering.
Cisco kombinerte passordfri autentisering med en bredere zero trust-strategi, hvor tilgang ikke gis basert på nettverkstilhørighet, men kontinuerlig vurderes ut fra risiko. Denne integrasjonen fremstår som avgjørende for å realisere det fulle potensialet i passordfri teknologi.
En bransje i endring
Rapporten argumenterer for at overgangen til passordfri autentisering ikke bare er et teknologisk skifte, men en strukturell endring i hvordan virksomheter tenker sikkerhet. Standarder som WebAuthn, biometriske løsninger og maskinvarebaserte sikkerhetsnøkler peker alle i samme retning: bort fra kunnskapsbasert autentisering.
Samtidig gjenstår utfordringer. Reguleringer, legacy-systemer og kostnader knyttet til implementering kan bremse utviklingen. Likevel er retningen klar. Når både sikkerhet, kostnadseffektivitet og brukeropplevelse forbedres samtidig, fremstår passordet som en stadig mindre rasjonell løsning.