← Πίσω στο Blog

Πέρα από τους κωδικούς: Πώς μοιάζει ένα σύγχρονο stack ταυτότητας για μικρές επιχειρήσεις

Alexandros Fotiadis
ασφάλεια ταυτότητα passkeys μμε iam
Πέρα από τους κωδικούς: Πώς μοιάζει ένα σύγχρονο stack ταυτότητας για μικρές επιχειρήσεις

Αν διοικείτε εταιρεία πέντε έως πενήντα ατόμων, το stack ταυτότητάς σας πιθανότατα είναι ακόμη «κωδικοί συν password manager, με SMS στα σημαντικά». Το 2021 αυτό ήταν αποδεκτό. Το 2026 είναι το μεγαλύτερο μη τιμολογημένο ρίσκο στον ισολογισμό σας.

Τα καλά νέα: τα εργαλεία για τη διόρθωση είναι φθηνά, ώριμα και σε μεγάλο βαθμό διαλειτουργικά. Μπορείτε να στήσετε ένα υπερασπίσιμο stack ταυτότητας μέσα σε αυτό το τρίμηνο χωρίς να προσλάβετε ομάδα ασφαλείας. Να πώς μοιάζει, και πώς το βγάζετε σε παραγωγή.

Τι περιλαμβάνει ένα σύγχρονο stack

Σκεφτείτε την ταυτότητα σε πέντε επίπεδα. Κάθε ένα πρέπει να αποφασίζεται συνειδητά.

1. Αυθεντικοποίηση: passkeys ως προεπιλογή

Τα passkeys — credentials FIDO2 αποθηκευμένα στη συσκευή σας ή στον password manager — είναι εκ σχεδιασμού ανθεκτικά σε phishing. Google, Microsoft, Apple, GitHub και οι περισσότερες σοβαρές SaaS τα υποστηρίζουν. Όπου δεν υπάρχουν, χρησιμοποιήστε TOTP authenticator apps. Το SMS δεν είναι πλέον δεύτερος παράγοντας που να αποδέχεστε σε ό,τι μετράει.

2. Hardware keys για διαχειριστές

Όποιος έχει δικαιώματα διαχείρισης στον identity provider, στο cloud, στο DNS, στον git host ή στο banking σας, παίρνει ένα hardware key. Δύο ανά άτομο (πρωτεύον και εφεδρικό), καταχωρημένα κατά την εγκατάσταση, φυλαγμένα σε διαφορετικά φυσικά σημεία. YubiKey 5, Feitian ή Token2 — επιλέξτε έναν κατασκευαστή και τυποποιήστε. Προϋπολογισμός: 50–80 € ανά key.

3. Ένας πάροχος ταυτότητας (IdP) με SSO

Ένα σημείο που ζουν οι ταυτότητες, ένα σημείο που δίνεται και αφαιρείται πρόσβαση. Ρεαλιστικές επιλογές για ΜμΕ: Google Workspace, Microsoft Entra ID ή ειδικός IdP όπως JumpCloud ή Okta Workforce. Κόστος: 6–15 € ανά χρήστη ανά μήνα, στην πραγματικά αναγκαία βαθμίδα. Το ROI δεν είναι κάποιο χαρακτηριστικό — είναι ότι το offboarding γίνεται σε τριάντα δευτερόλεπτα αντί για δύο μέρες ξεχασμένων λογαριασμών.

4. Πρωτόκολλα αντικλήσης για ανθρώπινες αποφάσεις

Καμία τεχνολογία δεν αποτρέπει έναν υπάλληλο λογιστηρίου να στείλει χρήματα σε πλαστό IBAN αν η διαδικασία το επιτρέπει. Χρειάζεστε γραπτούς κανόνες:

  • Κάθε αλλαγή προορισμού πληρωμής επαληθεύεται με αντίκληση σε προϋπάρχον αριθμό.
  • Κάθε ασυνήθιστο φωνητικό αίτημα πληρωμής επαληθεύεται με κωδική λέξη.
  • Κάθε «επείγον, εμπιστευτικό» αίτημα που παρακάμπτει την κανονική διαδικασία, θεωρείται εξ ορισμού ύποπτο.

Ένα μονοσέλιδο, τυπωμένο και υπογεγραμμένο. Ο φθηνότερος έλεγχος της λίστας.

5. Εμπιστοσύνη συσκευών

Φορητοί και τηλέφωνα που αγγίζουν εταιρικά δεδομένα πρέπει να είναι γνωστά στον IdP, κρυπτογραφημένα σε ηρεμία και ενημερωμένα. Για στόλους Apple, μια άδεια MDM ανά συσκευή (3–8 €/μήνα). Σε μικτά περιβάλλοντα, Kandji, Jamf ή το ενσωματωμένο device management της Google/Microsoft. Ο στόχος είναι απλός: αν μια συσκευή χαθεί, ανακαλείτε την πρόσβασή της χωρίς να την ακουμπήσετε.

Σταδιακή εισαγωγή

Δεν χρειάζεται να τα κάνετε όλα μαζί. Για την ακρίβεια, δεν πρέπει — οι αλλαγές στην αυθεντικοποίηση έχουν τη συνήθεια να κλειδώνουν έξω κόσμο ακριβώς τη λάθος στιγμή.

Φάση 1 — Εβδομάδα 1: απογραφή και καθάρισμα

  • Καταγράψτε κάθε SaaS λογαριασμό της εταιρείας. Ναι, όλους.
  • Εντοπίστε ποιοι είναι δεμένοι σε προσωπικά email, κοινόχρηστους κωδικούς ή πρώην εργαζομένους.
  • Διαγράψτε ό,τι δεν χρησιμοποιείται. Συγχωνεύστε ό,τι χρησιμοποιείται.

Φάση χωρίς λάμψη που σχεδόν πάντα βρίσκει τουλάχιστον έναν λογαριασμό που κανείς δεν θυμόταν.

Φάση 2 — Εβδομάδες 2–3: IdP και SSO

  • Εγκαταστήστε τον επιλεγμένο IdP.
  • Συνδέστε τις δέκα πιο χρησιμοποιούμενες SaaS μέσω SSO.
  • Μεταφέρετε τις υπόλοιπες σε «σύνδεση με Google/Microsoft» όπου δεν υπάρχει SSO.
  • Αποσύρετε τους μεμονωμένους λογαριασμούς καθώς προχωράτε.

Φάση 3 — Εβδομάδες 4–5: passkeys και αναβάθμιση MFA

  • Ενεργοποιήστε passkeys στον IdP και στις κορυφαίες SaaS.
  • Απενεργοποιήστε το SMS ως δεύτερο παράγοντα όπου προσφέρεται.
  • Διανείμετε hardware keys σε διαχειριστές, δύο ανά άτομο.

Φάση 4 — Εβδομάδες 6–8: εμπιστοσύνη συσκευών και διαδικασίες

  • Εντάξτε φορητούς και τηλέφωνα στο MDM.
  • Γράψτε και υπογράψτε το έγγραφο αντικλήσης/κωδικής λέξης.
  • Τρέξτε την πρώτη άσκηση phishing και φωνητικής απάτης.

Σε οκτώ εβδομάδες, μια εταιρεία 5–50 ατόμων είναι ουσιωδώς καλύτερα από το ενενήντα τοις εκατό των ομοειδών της.

Κόστη (χονδρικά, τιμές ΕΕ 2026)

Για εταιρεία 20 ατόμων, χονδρικά:

  • IdP + SSO: 2.400–3.600 €/έτος.
  • Hardware keys (2 × 5 διαχειριστές): 500–800 € εφάπαξ.
  • MDM για 20 συσκευές: 720–2.000 €/έτος.
  • Προσπάθεια υλοποίησης: 40–80 ώρες, εσωτερικές ή εξωτερικές.

Συνολική πρώτη χρονιά: γύρω στα 5.000–8.000 €. Σύγκριση με μία επιτυχημένη απάτη εμβάσματος που στη δική μας πελατεία το 2025 κινήθηκε στα 8.000 € έως 180.000 €.

Η checklist

Τυπώστε, τσεκάρετε, κρατήστε την ορατή:

  • IdP ενεργός, όλο το προσωπικό προβλεπόμενο
  • Top 10 SaaS σε SSO
  • Passkeys ενεργά σε IdP + email + git + cloud + banking
  • SMS 2FA απενεργοποιημένο παντού όπου γίνεται
  • Hardware keys σε κάθε διαχειριστή, δύο ανά άτομο
  • MDM ενεργό σε όλες τις εταιρικές συσκευές
  • Γραπτό πρωτόκολλο αντικλήσης + κωδικής λέξης, υπογεγραμμένο
  • Μία άσκηση στις πρώτες 90 μέρες
  • Δοκιμή offboarding: αποκλείετε έναν αποχωρούντα σε λιγότερο από πέντε λεπτά;

Πού μπαίνουμε εμείς

Μεγάλο μέρος είναι δουλειά που μπορείτε να κάνετε μόνοι. Εκεί που βοηθάμε είναι στις εβδομάδες της μετάβασης — μετάβαση SaaS σε SSO, ενσύρματωση επιβολής passkey στον IdP, να γράψουμε την πολιτική αντικλήσης σε μορφή που στα αλήθεια ακολουθείται, και να τρέξουμε την πρώτη ειλικρινή άσκηση. Αν θέλετε ένα δεύτερο ζευγάρι χεριών ή ματιών, μιλήστε μας.