Executive summary
Genbrugte eller svage adgangskoder er en enkelt-fejl-kilde, som stadig rammer danske SMV’er hårdt. Ét kompromitteret login kan give adgang til mail, cloud og økonomisystemer, og angribere kan genbruge lækkede login-data på tværs af tjenester via credential stuffing. Det koster driftstid, kund tillid og rapportering.
Løsningen er enkel at lede: indfør en virksomhedsgodkendt password manager til alle, og aktivér passkeys hvor det er muligt. Med en tydelig 30-dages plan, få minimumskrav og en fast kadence for træning og opfølgning kan du reducere risikoen hurtigt og målbart. Vi viser hvad I skal vælge, hvem der gør hvad og hvordan I følger op, så I kommer på Forkant™.
Hvorfor nu: mindre friktion, større modstandskraft
De største platforme understøtter i dag passkeys, som bruger offentlig-nøgle-kryptografi i stedet for klassiske adgangskoder. Det sænker risikoen for phishing og credential stuffing, fordi der ikke indtastes en genbrugelig hemmelighed. Læs mere hos FIDO Alliance, Apple, Google og Microsoft. Supplér med en password manager til de systemer, der endnu ikke understøtter passkeys, så alle konti er unikke og kan deles sikkert i teams uden delte logins.
Det kræver ledelsesopmærksomhed at ændre vaner, ikke teknikfest. Hold fokus på forretningskontinuitet og målbar effekt: færre nulstillinger, færre supporttickets og færre låste konti. Når I arbejder med mennesker og adfærd, er kultur og træning nøglen. Se vores tilgang til awareness og træning under Awareness Træning, og hvordan det indgår i Forkant™.
Hvad skal I vælge: password manager og passkeys der virker i praksis
Start med krav til password manager. I en dansk SMV med Microsoft 365 eller Google Workspace bør I vælge en løsning med centrale admin-rettigheder, sikre delte vaults til teams, revisionsspor, politikker for minimumskrav og mulighed for SSO. Understøttelse af passkeys er et plus, så I kan lagre og bruge passkeys i samme værktøj hvor det giver mening.
Aktivér passkeys i jeres identitetsplatform. For Microsoft 365 kan I aktivere FIDO2/passkeys i Entra ID. Se trin for trin i Microsofts dokumentation her. For Google Workspace kan brugere tilføje og bruge passkeys, og administratorer kan håndhæve politikker, se Googles vejledning. På Apple-enheder er passkeys indbygget i iCloud nøglering, læs Apple Support. Bag teknikken står FIDO-standarden, beskrevet af FIDO Alliance.
Som rettesnor for adgangskoder hvor passkeys ikke er muligt, kan I følge National Cyber Security Centre’s anbefalinger om unikke logins, begrænset brug af mærkelige kompleksitetskrav og fokus på længde og brugervenlighed. Se NCSC’s vejledning. Til login-implementering i egne systemer er OWASP Authentication Cheat Sheet et godt referencepunkt.
Minimumsstandard: medarbejdere og kritiske leverandører
Gør det enkelt at forstå og nemt at efterleve. Brug samme standard for alle, og tilpas kun efter en risikovurdering.
- Alle medarbejdere bruger virksomhedens password manager til alle logins. Ingen private værktøjer.
- Alle konti er unikke. Deling foregår via delte vaults eller sikre delingsfunktioner, ikke via chat eller mail.
- Passkeys bruges hvor platformen understøtter det. Hvis ikke, aktiveres MFA.
- MFA er obligatorisk for mail, ERP, CRM, økonomi og fjernadgang. Brug phishing-resistente metoder hvor muligt.
- Adgang til Microsoft 365 eller Google Workspace styres centralt. Ingen lokale admin-konti uden forretningsbegrundelse.
- Nødadgang er dokumenteret og testet. Hav to break-glass-konti uden MFA, beskyttet af hardware-token i pengeskab.
- Leverandører med adgang til data eller systemer bruger individuelle konti, MFA og signerer jeres minimumskrav.
Knyt standarden til jeres governance og compliance. Hvis I arbejder hen mod NIS2 eller ISO 27001, kan standarden dokumenteres i politikker og procedurer. Få overblik i en Modenheds-analyse.
30-dages implementeringsplan: lav friktion, høj effekt
Planen er designet til en typisk SMV på 25 til 200 medarbejdere. Tilpas omfanget til jeres størrelse, men hold tempoet.
- Uge 1: Beslutning og forberedelse
– Udpeg sponsor i ledelsen og en intern koordinator
– Vælg password manager ud fra kravene ovenfor
– Aftal politikker for deling, minimumskrav og nødadgang
– Forbered kommunikation til medarbejdere og leverandører
– Planlæg awareness-session og microtræning via Awareness Træning - Uge 2: Pilot og passkeys
– Opret tenant, admin-roller og auditlog i password manager
– Importer eksisterede delte logins til sikre vaults
– Aktivér passkeys i Microsoft 365 eller Google Workspace for pilotgruppen
– Test login-flow på bærbar, mobil og fjernadgang
– Gennemfør kort bruger-test og justér politikker - Uge 3: Udrulning til alle
– Klargør brugerprovisionering, evt. via SSO
– Udrul klienter og browserudvidelser med it-supportens hjælp
– Kør 30-minutter træning pr. team om brug og god adfærd
– Håndhæv minimumsstandard i politikker og i password manageren
– Start udfasning af delte generiske konti - Uge 4: Leverandører og måling
– Send minimumskrav til kritiske leverandører og få bekræftelse
– Aktivér adgang til delte vaults for samarbejdspartnere hvor relevant
– Mål nøgletal og rapporter til ledelsen: nulstillinger, MFA-andel, delte logins
– Planlæg kvartalsvis revision, sikkerhedstjek af konfigurationer og awareness-indsats
– Dokumenter processen, og opdater politikker til NIS2-klarhed
Har I brug for en struktureret opsætning, kan I kombinere planen med et Sikkerhedstjek af Microsoft 365 eller Google Workspace for at verificere konfigurationer, eller vælge en samlet løsning i Forkant™.
Sådan undgår I friktion i hverdagen
Hold fokus på brugervenlighed. Når password manageren udfylder automatisk og passkeys fjerner kodeindtastning, falder modstanden. Brug klare retningslinjer for navngivning af vaults og deling mellem teams, og hav en hjælp-til-selvhjælp-guide i intranettet. Sørg for hurtig support de første to uger, hvor vaner skal sættes.
Planlæg korte microtræninger hver måned. Brug rigtige eksempler fra jeres hverdag og suppler med phishing-simulationer, så medarbejderne øver realistiske scenarier. Læs om vores praksisnære træning under Awareness Træning.
Måling og kontrol: gør gevinsten synlig
Etabler en enkel rapport til ledelsen. Den viser udviklingen i adoption og sikkerhedsniveau, og den kobler sikkerhed til drift og risici. Det styrker beslutninger og holder fokus på forretning.
- Adoption: andel af aktive brugere i password manageren og andel med passkeys
- Adfærd: antal delte logins reduceret og antal svage adgangskoder i audit
- Drift: antal nulstillinger, låste konti og tid brugt i support
- Sikkerhed: andel konti med MFA, antal phishing-rapporter og simuleringsresultater
Supplér kvartalsvis med et Sikkerhedstjek og en gennemgang af politikker i en workshop for ledelsen, så I fastholder momentum og governance.
Næste skridt: beslut, pilottér og mål
Vælg password manager i denne uge, udpeg sponsor og koordinator, og book en time i kalenderen for en pilot i næste uge. Aktivér passkeys for pilotgruppen i Microsoft 365 eller Google Workspace. Gør minimumsstandarden synlig for alle, og følg tallene ugentligt. Hvis I vil samle opsætning, træning og måling, findes en fast pris pr. medarbejder i Forkant™. Når I er på forkant, sover alle bedre.