Labs Support
SV EN

Sparade lösenord i webbläsaren, en större risk än många tror

Många företag låter personal spara lösenord i webbläsaren. Det är bekvämt, men också riskabelt. Här är hur ni skyddar er, och hur ISO 27001 hade minskat risken från början.

Patrik Björklund
Medgrundare, AmpliFlow
ISO 27001 Informationssäkerhet
Sparade lösenord i webbläsaren, en större risk än många tror

Era medarbetare sparar sannolikt lösenord i webbläsaren redan i dag.

Det går fort. Det känns harmlöst. Och det är ofta precis så ett dåligt arbetssätt får fäste.

En uppmärksammad video från Tom Jøran Sønstebyseter Rønning visar varför frågan är värd att ta på allvar.1 I videon visas ett kommandofönster där sparade lösenord ser ut att läsas ut ur Microsoft Edge för flera användare. Om sparade lösenord blir möjliga att läsa ut är problemet inte bara tekniskt. Problemet är att samma webbläsare ofta är en genväg in till mejl, kunddata, HR-system, ekonomi och interna verktyg.

Det första ni ska fråga er är enkelt: skulle något liknande kunna hända hos oss?

Om svaret är “kanske”, då har ni nog redan tillräckligt för att agera.

Executive overview

Det här är inte bara en fråga om Microsoft Edge, alltså webbläsaren. Det här handlar om hur ni hanterar lösenord och andra inloggningsuppgifter i verksamheten.

Om personal sparar lösenord i webbläsaren flyttar ni ett känsligt skydd närmare vardagen, och längre bort från styrning. När något går fel blir problemet därför större än själva webbläsaren. Det blir åtkomst till mejl, kunddata, HR, ekonomi och interna verktyg.

ISO 27001 förbjuder inte ordagrant sparade lösenord i webbläsaren. Men standarden kräver att autentiseringsinformation hanteras styrt, att åtkomst begränsas, att klienter skyddas, att säker autentisering används och att reglerna följs upp. Ett moget arbete enligt ISO 27001 hade därför sannolikt gjort detta arbetssätt mindre vanligt, mindre riskabelt och lättare att upptäcka.

Min rekommendation är enkel: tillåt inte att webbläsaren sparar lösenord för verksamhetskritiska konton. Stäng helst av funktionen för företagskonton och använd i stället en dedikerad lösenordshanterare med tydlig styrning, delning, återkallelse och stark autentisering.

Börja här

Ni behöver inte vänta på ett stort säkerhetsprojekt för att minska risken.

Gör detta först:

  1. Bestäm vilka konton som aldrig får sparas i webbläsaren. Börja med mejl, admin, HR, ekonomi, CRM och system med personuppgifter.
  2. Kräv starkare autentisering för känsliga konton. Ett enda sparat lösenord ska inte räcka långt.
  3. Se över vilka användare som har för bred åtkomst. Ju mer ett konto kan nå, desto större blir skadan.
  4. Hantera klienter och webbläsare som säkerhetsfrågor, inte användarpreferenser.
  5. Bestäm hur ni upptäcker, rapporterar och rättar felaktig lokal lagring av inloggningar.

Det här löser inte allt. Men det flyttar er bort från ren tur.

Varför detta blir ett verksamhetsproblem

Många tänker direkt på IT. Det är för snävt.

Om en användares webbläsare ger åtkomst till mejlen kan angriparen återställa andra lösenord. Om samma användare också har sparat inloggning till kundsystem, leverantörsportaler eller interna verktyg blir ett enda konto en väg vidare.

Det är därför detta inte bara handlar om webbläsare. Det handlar om hur ni hanterar lösenord och andra inloggningsuppgifter i verksamheten.

Skälet är sällan dumhet. Skälet är bekvämlighet. Folk vill logga in och gå vidare. Om organisationen inte har tydliga regler, eller om reglerna aldrig följs upp, då vinner bekvämligheten.

Så hade ISO 27001 minskat risken

ISO 27001 hade inte gjort er osårbara. Men ett bra arbete enligt standarden hade gjort tre saker:

  • minskat sannolikheten att känsliga lösenord sparas fel
  • begränsat skadan om något ändå läcker
  • gjort er snabbare på att upptäcka och rätta till problemet

Det bygger i praktiken på fyra delar.

1. Ni hade behövt bestämma vad som är känsligt

Standarden kräver att ni bedömer informationssäkerhetsrisker och klassar information.2

I praktiken betyder det att ni inte får behandla alla konton som om de vore likvärdiga. Ett konto till ett nyhetsbrevssystem är inte samma sak som vd:s mejl eller ert HR-system. När ni väl har klassat informationen blir nästa fråga naturlig: vilka inloggningar får över huvud taget sparas i webbläsaren?

2. Ni hade behövt styra hur autentiseringsinformation hanteras

Den tydligaste skrivningen finns i Bilaga A 5.17:

Tilldelning och hantering av autentiseringsinformation ska styras med hjälp av en ledningsprocess, som inbegriper att ge råd till personal om hur autentiseringsinformation bör hanteras på lämpligt sätt.

  • ISO/IEC 27001:2023, Bilaga A 5.17

Tillsammans med regler för tillåten användning, identitetshantering och åtkomstkontroll betyder det att lösenordshantering inte kan lämnas till varje användares vana.3

Det leder till riktiga beslut, till exempel vilka konton som aldrig får sparas lokalt, vilka roller som måste använda starkare autentisering och vem som får godkänna undantag.

3. Ni hade behövt skydda klienterna bättre

Bilaga A kräver att information som lagras på eller är tillgänglig via användarklienter skyddas. Den kräver också styrda säkerhetskonfigurationer och hantering av tekniska sårbarheter.4

Det är direkt relevant för webbläsare. Om ni inte styr om lösenord får sparas lokalt, vilka tillägg som får köras eller hur snabbt klienter uppdateras, då lämnar ni ett onödigt hål öppet.

4. Ni hade begränsat skadan och lärt er snabbare

Bra säkerhetsarbete utgår inte bara från att stoppa problem. Det utgår också från att begränsa skadan när något ändå händer.

Därför spelar åtkomstkontroll, säker autentisering, loggning, incidenthantering och regelbunden uppföljning roll här.5

Om ni har en regel om att känsliga konton inte får sparas i webbläsaren, men aldrig kontrollerar efterlevnaden, då har ni i praktiken ingen regel alls.

När blir ISO 27001 relevant på riktigt?

ISO 27001 blir relevant på riktigt när sådana här frågor återkommer gång på gång, men varje gång löses ad hoc.

När ingen vet vilka konton som sparas lokalt. När regler finns, men ingen följer upp dem. När klientskydd, åtkomst, utbildning och incidentlärande lever i olika lådor.

Det är då ett ledningssystem börjar bli intressant. Inte som administration. Som sätt att få ordning.

Om ni känner igen er i detta är det rimligt att börja fundera på om tiden är inne att ta ISO 27001-arbetet på allvar, eller att gå hela vägen till certifiering. Inte för att standarden ordagrant förbjuder sparade lösenord i webbläsaren. För att den tvingar er att sluta lämna sådana beslut åt slumpen.

Footnotes

  1. Tom Jøran Sønstebyseter Rønning, inlägg på X, 4 maj 2026: https://x.com/i/status/2051308329880719730.

  2. Referens: ISO/IEC 27001:2023, avsnitt 6.1.2 och Bilaga A 5.12.

  3. Referens: ISO/IEC 27001:2023, Bilaga A 5.10, 5.15, 5.16 och 5.17.

  4. Referens: ISO/IEC 27001:2023, Bilaga A 8.1, 8.8 och 8.9.

  5. Referens: ISO/IEC 27001:2023, Bilaga A 8.3, 8.5, 8.15, 8.16 samt 5.24, 5.25, 5.26, 5.27 och 5.36.

Relaterade artiklar

AI-bias i rekrytering: er rekryterings-AI kan gallra fram sig själv

AI-bias i rekrytering: er rekryterings-AI kan gallra fram sig själv

 Ju räddare folk är för AI, desto mer använder de det

Ju räddare folk är för AI, desto mer använder de det

 AI-agenter och ledningssystem: hype, verklighet och vad vi faktiskt byggt

AI-agenter och ledningssystem: hype, verklighet och vad vi faktiskt byggt