Varför din organisation bör investera i FIDO2 och passkeys i Entra ID
Lösenord är den svagaste länken i företagssäkerhet. FIDO2-säkerhetsnycklar och passkeys i Microsoft Entra ID erbjuder ett nätfiskeresistent alternativ som eliminerar stöld av autentiseringsuppgifter helt.
Lösenordsproblemet blir värre
Varje stor dataintrång de senaste fem åren har en gemensam nämnare: komprometterade autentiseringsuppgifter. Trots miljarder som spenderats på lösenordspolicyer, komplexitetsregler och rotationsscheman förblir lösenord den främsta attackvektorn för företagsmiljöer.
Microsofts egna data talar sitt tydliga språk — över 99,9% av komprometterade konton hade inte multifaktorautentisering aktiverat, och även konton med traditionell MFA (SMS, telefonsamtal) utsätts i allt högre grad för adversary-in-the-middle-nätfiskeattacker.
Frågan är inte längre om man ska gå bortom lösenord, utan hur snabbt man kan göra det.
Vad är FIDO2-säkerhetsnycklar och passkeys?
FIDO2-säkerhetsnycklar är fysiska hårdvarutoken (som YubiKey eller Feitian) som använder publik nyckelkryptografi för autentisering. Det finns ingen delad hemlighet, inget lösenordshash lagrat på serversidan och inget att nätfiska.
Passkeys är utvecklingen av FIDO2 — de använder samma kryptografiska principer men lagras på din enhet (laptop, telefon) och synkas säkert via din plattform (Windows Hello, Apple iCloud-nyckelring, Android). Ingen separat hårdvara behövs.
Båda stöds nativt i Microsoft Entra ID som autentiseringsmetoder.
Varför detta är viktigt för din organisation
1. Nätfiskeresistens
Traditionella MFA-metoder — SMS-koder, push-notiser från autentiseringsappar, även TOTP — kan alla fångas upp av sofistikerade nätfiskeverktyg som Evilginx. FIDO2 och passkeys är kryptografiskt bundna till domänen, vilket gör nätfiske matematiskt omöjligt.
2. Ingen stöld av autentiseringsuppgifter
Det finns inget lösenord att stjäla. Inget hash att knäcka. Inget token att spela upp igen. Den privata nyckeln lämnar aldrig enheten eller säkerhetsnyckeln.
3. Bättre användarupplevelse
Användare trycker på en nyckel eller använder biometri (fingeravtryck, ansikte). Inga lösenord att skriva. Inga SMS-koder att vänta på. Inloggning tar 2-3 sekunder. Supportsamtal för lösenordsåterställning minskar avsevärt.
4. Integration med Conditional Access
FIDO2 och passkeys integreras direkt med Conditional Access-policyer i Entra ID. Du kan kräva nätfiskeresistent MFA för:
- Åtkomst till administratörsportaler
- Känsliga applikationer
- Högrisk-inloggningar (upptäckta av Identity Protection)
- Enhetsregistrering och enrollment
5. Efterlevnad och regulatorisk anpassning
Ramverk som NIS2, CIS Controls och NIST 800-63B rekommenderar eller kräver i allt högre grad nätfiskeresistent autentisering. Att implementera FIDO2 positionerar din organisation före regulatoriska krav.
Implementeringsansats
En framgångsrik FIDO2/passkey-utrullning i Entra ID följer en strukturerad ansats:
- Bedöm — Granska nuvarande autentiseringsmetoder och identifiera högriskgrupper
- Pilot — Aktivera FIDO2 som ytterligare metod för IT- och säkerhetsteam först
- Expandera — Rulla ut till bredare användargrupper med tydlig kommunikation
- Kravställ — Använd Conditional Access authentication strength-policyer
- Övervaka — Följ upp adoption via Entra ID-inloggningsloggar
Kostnadskalkylen
En YubiKey kostar omkring 500-700 SEK per enhet. Jämför det med:
- Genomsnittlig kostnad för en enskild nätfiskeincident: hundratusentals SEK
- Supportkostnad per lösenordsåterställning: 200-500 SEK
- Produktivitetsförlust från MFA-friktion: timmar per anställd per år
Avkastningen är tydlig inom månader, inte år.
Vår rekommendation
Börja med era högst riskutsatta användare — Globala administratörer, privilegierade rolladministratörer och ekonomiteam. Implementera FIDO2-säkerhetsnycklar, kravställ via Conditional Access authentication strengths och mät effekten.
Planera sedan en bredare passkey-utrullning för alla medarbetare med Windows Hello for Business och plattformsoberoende passkeys. Målet är enkelt: gör nätfiske omöjligt, inte bara osannolikt.
Haggeburger hjälper organisationer att designa och implementera nätfiskeresistenta autentiseringsstrategier i Microsoft Entra ID. Kontakta oss för att diskutera er färdplan.