Kontakt

Stop kontoovertagelser: password manager og passkeys i 2026

FORFATTER

Alan M. Kristensen

Executive summary

Størstedelen af kontoovertagelser i danske SMV’er starter stadig med stjålne eller genbrugte adgangskoder og vellykket phishing. Det koster tid, omdømme og i værste fald driftstop. Den gode nyhed er, at teknologien til at lukke det hul er moden og tilgængelig. I 2026 kan I hæve jeres modstandskraft markant ved at gøre password manager og passkeys eller 2FA til standard uden at gøre hverdagen tung.

Løsningen er et minimum viable security setup for konti, der kan rulles ud på en uge. Vi anbefaler en virksomheds­password manager, aktivering af passkeys hvor det er muligt og krav om 2FA som fallback. Kombinationen reducerer angrebsfladen for kontoovertagelser, Business Email Compromise og de mange ransomware-forløb, der starter i indbakken. Det er praktisk, målbar forbedring og et naturligt skridt mod NIS2-klar styring.

Hvorfor netop nu

Phishing og stjålne legitimationsoplysninger går igen i europæiske trusselsrapporter. ENISA’s Threat Landscape peger på social engineering og credential access som vedvarende indgangsveje, som rammer især mindre og mellemstore virksomheder. Se ENISA’s oversigt her: ENISA Threat Landscape 2023.

Samtidig er industrien blevet enige om stærkere standarder. Passkeys er nu udbredt i både Google og Microsofts økosystemer og fungerer på tværs af browser og OS. Læs mere hos Google om passkeys og hos Microsoft om fremtiden for stærk autentifikation. Det betyder, at du kan løfte sikkerheden hurtigt uden store projekter.

Nationale myndigheder anbefaler samme retning. CISA’s Stop Ransomware guide fremhæver multifaktorautentifikation, adgangsstyring og træning som kernegreb, som enhver organisation bør have på plads. Se CISA Stop Ransomware Guide. NCSC i UK anbefaler brug af password managers og 2FA for at undgå genbrug og svage adgangskoder. Se NCSC Passwords.

Minimum viable security for konti i SMV

Målet er høj sikkerhed med lav friktion. Derfor kombinerer vi tre byggesten: en virksomheds­password manager til at fjerne password-kaos, passkeys som førstevalg hvor platforme understøtter det og 2FA som krav alle andre steder. Det er en pragmatisk blanding, der virker i en travl hverdag.

En password manager fjerner genbrug, giver stærke unikke adgangskoder og gør deling af servicekonti kontrolleret. Passkeys fjerner hele passwordet der hvor de bruges og er både hurtigere og stærkere. 2FA giver et ekstra lag, når passkeys ikke er mulig.

Forretningsgevinsten er tydelig. Mindre supporttid til nulstilling, mindre risiko for BEC, og dokumenterbare kontroller, der hjælper jer på vej mod NIS2 og ISO 27001. I praksis er det også fundamentet for en samlet driftsløsning som Forkant™, hvor adgangsstyring, phishingtræning og løbende overvågning hænger sammen.

1-uges implementeringsplan

Planen er designet til danske SMV’er. Den kræver én beslutningstager, én teknisk ansvarlig og en pilotgruppe på 5 til 10 personer.

  1. Dag 1 beslutninger: Udpeg ejer af kontosikkerhed. Vælg virksomheds­password manager. Beslut at passkeys er førstevalg på Google Workspace eller Microsoft 365, og at 2FA er et krav på alle øvrige systemer. Aftal pilotgruppe og tidsplan. Link til workshop for ledelse og bestyrelse hvis I vil have fælles start.
  2. Dag 2 konfiguration: Opret password manager tenant. Definer struktur for teams, delte bokse og adgang til servicekonti. Slå policy for minimumslængde og automatisk generering til. Etabler nødadgang for to ledere. Forbind til SSO hvis muligt.
  3. Dag 3 pilot: Rul klienter ud til pilotgruppen. Hjælp med import fra browsere. Aktivér passkeys på Google eller Microsoft konti i piloten. Slå 2FA til i e-mail, VPN og økonomisystem. Kør en kort introduktion og giv en 10 minutters guide.
  4. Dag 4 udrulning: Rul password manager ud til hele virksomheden. Gør passkeys til standard for alle relevante konti. Gør 2FA obligatorisk i Microsoft 365 eller Google Workspace. Brug en simpel tjekliste ved onboarding.
  5. Dag 5 mennesket i midten: Kør en fokuseret phishingtræning med kort microlearning. Mål klikrate og 2FA tilslutning. Se vores awareness træning for inspiration.
  6. Dag 6 drift: Etabler break glass konti med stærke, opbevarede adgangskoder i en særskilt boks. Dokumentér en kort runbook for gendannelse og tab af enhed. Sæt månedlig rapportering op.
  7. Dag 7 verificering: Tjek at 95 procent har installeret password manager, at 2FA er på 100 procent af kernekonti og at passkeys er aktiveret hvor muligt. Aftal kvartalsvis gennemgang og tilpasning. Brug et sikkerhedstjek som uafhængig verifikation.

Simple politikker der holder

Politikker skal være korte, forståelige og nemme at følge. Her er de nødvendige beslutninger.

  • Adgangskoder: Alle arbejdsrelaterede adgangskoder oprettes og lagres i password manager. Minimum 16 tegn hvor password stadig bruges. Ingen genbrug mellem systemer.
  • Passkeys: Bruges som primær autentifikation hvor muligt. Brug platformens sikker nøglelager og registrer mindst to enheder pr. bruger.
  • 2FA krav: 2FA er obligatorisk på mail, identitetstjenester, økonomi og fjernadgang. Authenticator-app eller hardware-nøgler prioriteres. SMS kun som nødvalg.
  • Delte konti: Servicekonti og delte logins deles via delte bokse med navngivne ejere. Ingen deling via e-mail eller chat.
  • Adgang ved fratrædelse: Konti suspenderes samme dag. Delte adgangskoder roteres automatisk i password manager hvor muligt.
  • Nødadgang: To ledere har nødadgang under forsegling. Åbning kræver dokumenteret godkendelse.

Hvad gør I ved undtagelser og gamle systemer

Nogle systemer understøtter endnu ikke passkeys eller 2FA. Løsningen er klare undtagelsesregler med kompenserende kontroller. Aftal at undtagelser skal godkendes tidsbegrænset, at adgangskoden skal være ekstra lang, at brugere kun må tilgå systemet fra virksomhedens netværk eller via betroet VPN og at kontoen overvåges for login fra nye lokationer.

Har I ældre protokoller som POP3 eller IMAP uden 2FA på mail, bør de slås fra eller isoleres. Microsoft og Google giver værktøjer til at håndhæve moderne protokoller og sikker standard. Overvej en pentest af eksponerede systemer for at få syn for sagen. Læs om pentest hvis I vil teste kontrollerne offensivt.

Mål det der betyder noget

Ledelsen skal kunne se effekten med få tal. Disse indikatorer er til at forstå og handle på.

  • Tilslutning til password manager: Andel af brugere der har installeret og er logget ind.
  • 2FA-dækning: Andel af kernekonti med 2FA tvunget og registrerede faktorer.
  • Passkey-udbredelse: Andel af konti med mindst to registrerede passkeys.
  • Phishing-robusthed: Klikrate i kvartalsvise simulationer og tid til rapportering.
  • Hændelser: Antal nulstillinger og forsøg på login fra nye lokationer pr. måned.

Brug målingerne i jeres ledelsesrapport sammen med et kort risikobillede. Det er klassiske kontroller i NIST CSF og hjælper dokumentationen til NIS2.

Tekniske pejlemærker til den ansvarlige

Der er få tekniske valg, der batter meget.

  • Vælg en password manager med virksomhedslicens, delte bokse, politikker, revisionslog og mulighed for nødadgang. Integrer med identitetstjenesten for automatisk klargøring.
  • Aktiver phishing-resistent 2FA på identitetstjenesten. Prioriter FIDO2 sikkerhedsnøgler eller platform passkeys. Undgå e-mail og SMS som primær faktor.
  • Sæt grundlæggende vilkår i Microsoft 365 eller Google Workspace. Kræv 2FA, bloker legacy protokoller, og indfør betinget adgang for administrative konti.
  • Lav en simpel playbook for tabt telefon eller ny laptop. Gendan passkeys via sikker backup eller sekundær enhed.

Microsoft beskriver retningen for passkeys og FIDO2 i deres offentlige materiale. Se Microsofts gennemgang. Google beskriver aktivering og brugersupport for passkeys her: Google Hjælp. NCSC giver konkrete råd til adgangskodelængde og brug af managers: NCSC Passwords. CISA’s guide kan bruges som checkliste for beredskab og forebyggelse: Stop Ransomware Guide.

Handlingsopfordring

Vælg en uge i kalenderen og gør kontosikkerhed til et fælles projekt. Udpeg en ansvarlig, beslut password manager, gør passkeys til standard og kræv 2FA på resten. Brug planen ovenfor og gennemfør målingen på dag syv. Har I brug for et samlet, driftet setup med awareness og rapportering, så kig på Forkant™. Ønsker I en uafhængig kontrol af opsætningen, så book et sikkerhedstjek og følg op med awareness træning.