Sättet som små och medelstora företag arbetar på har förändrats för gott – men det har även sättet de attackeras på. Team är distribuerade, SaaS-verktyg hanterar allt från löner till projekthantering med användarnamn, och entreprenörer och leverantörer roterar regelbundet in och ut ur system. Med varje nytt verktyg eller medarbetare som kan få åtkomst till systemen ökar antalet potentiella ingångspunkter.
Den expanderande attackytan spelar roll eftersom attacker baserade på inloggningsuppgifter, inklusive nätfiske, kontoövertaganden och stöld av lösenord, har blivit ett av de vanligaste sätten som företag utsätts för intrång. De fungerar just för att möjligheten att få åtkomst till har spridits, vilket gör det svårt att spåra. Allt en angripare behöver göra nu är att hitta en giltig uppsättning inloggningsuppgifter för att kringgå ditt företags försvar.
I detta sammanhang borde det vara uppmuntrande att över hälften av alla småföretag nu använder en lösenordshanterare för företag. Men Protons SMB Cybersecurity Report 2026 – en global studie av 3 000 beslutsfattare inom SMB – fann att en av fyra fortfarande upplevde ett intrång förra året.
Allt detta pekar på en klyfta mellan hur verktyg anammas och hur de faktiskt används.
Hur små och medelstora företag använder lösenordshanterare i dag
De flesta lösenordshanterare är utformade för att göra en sak bra: hjälpa dig att komma ihåg ditt lösenord. I praktiken innebär det att skapa komplexa och unika lösenord och hantera dem i ett krypterat valv. Det är betydligt bättre än normen att återanvända samma inloggningsuppgifter över olika konton och plattformar.
Men eftersom lösenord är en angripares enklaste ingångspunkt, behöver SMB:er en lösenordshanterare för att göra mycket mer än att bara lösa minnes- och bekvämlighetsproblem. De behöver den för att säkra möjligheten att få åtkomst till.
Att få åtkomst till är en mycket bredare fråga. Har rätt personer rätt inloggningsuppgifter – och skulle du veta vad de låser upp eller om de hamnade i fel händer? Och när team växer, prenumerationer staplas på varandra och entreprenörer roterar in och ut, måste din organisations överväganden flyttas från att bara stärka lösenord till att ta hänsyn till verkliga säkerhetshot.
Det är den förändringen de flesta företag inte gör förrän något går fel.
Var implementeringar av lösenordshanterare går fel
Den viktigaste insikten i vår rapport var att företag som anammar en lösenordshanterare inte använder dem konsekvent.
Osäker delning av inloggningsuppgifter kvarstår fortfarande i överraskande hög grad:
- 33 % delar dem i delade dokument eller kalkylblad som de har läst
- 30 % delar inloggningsuppgifter via e-post
- 27 % delar dem via meddelande-appar
- 25 % skriver ner dem
- 24 % delar dem muntligt
Detta är en bild av upptagna människor som tar den snabbaste dirigeringen som är tillgänglig i det ögonblicket. Istället för att byta till appen för lösenordshanterare och hantera och dela en ny inloggningsuppgift i dess rätta valv, kanske de klistrar in det nya lösenordet i Slack eller i ett e-postmeddelande.
Kringgående lösningar känns ofarliga isolerat. Men med tiden hamnar inloggningsuppgifter utspridda i inkorgar, chatthistorik och delade dokument på platser som är svåra att reda ut. När en anställd slutar kan du inte senare återkalla rätten att få åtkomst till. Och att uppdatera lösenord med kort varsel efter ett dataintrång blir omöjligt såvida det inte är lagrat på en central säker plats.
Utbildning för att upprätthålla säkerhetspolicyer kan hjälpa, men vår sökning och forskning avslöjade att inte ens det är riktigt tillräckligt…
Varför utbildning i säkerhetsmedvetenhet inte är tillräckligt
Vår rapport fann att 39 % av små och medelstora företag har upplevt en säkerhetsincident orsakad av mänskliga fel. Den statistiken är lätt att ha läst fel; den naturliga reaktionen är att anta att mer försiktiga anställda innebär färre incidenter.
Men denna inramning missar något som är viktigt att importera till medvetandet: Säkerhetssystem som är beroende av perfekt beteende under vardaglig press kommer alltid att svika i verkligheten. Misstag sker inte för att folk inte bryr sig – de sker för att det säkra alternativet ofta kräver mer ansträngning och tid än vad den typiska småföretagaren har råd med. Även välmenande team kommer att hitta kringgående lösningar i en app när de har begränsat med resurser.
Den varaktiga lösningen är inte mer utbildning. Det är att designa system där det säkra alternativet också är det enkla.
När det inte kräver mer ansträngning att dela möjligheten att få åtkomst till säkert än att släppa ett lösenord i ett chattmeddelande, kommer folk att använda det.
När problemet med att få åtkomst till hamnar utom kontroll
Problemet med inloggningsuppgifter förvärras när team växer.
Åttiosex procent av SMB:er förlitar sig nu på molnbaserade tjänster för sin dagliga verksamhet. Det innebär vanligtvis att inloggningsuppgifter sprids över verktyg för att hantera projekt, plattformar för ekonomi, anpassad mjukvara för att markera och marknadsföra, fil och lagringsutrymme samt kundsystem, var och en med sina egna behörigheter och historik för att få åtkomst till.
Möjligheten att få åtkomst till sprids inte bara över system; den sprids över hela organisationen, och flödar mellan team, externa partners, entreprenörer och tidigare anställda som kanske har läst och fortfarande behåller en väg in.
I verkligheten innebär detta att inloggningsuppgifter ackumuleras, gammal möjlighet att få åtkomst till dröjer sig kvar, och antalet personer som har – eller har haft – nycklarna till dina mest känsliga system växer bortom enkel spårning.
Att ha verktyg är inte detsamma som att vara skyddad
De SMB:er som upplevde intrång förra året tog inga genvägar: 92 % investerade aktivt i säkerhetsverktyg. De hade en lösenordshanterare, krypterad e-post, utbildningsprogram och skriftliga policyer på plats. Med andra ord såg deras val att konfigurera säkert ut på papperet.
Vad många saknade var konsekvent upprätthållande. Flerfaktorsautentisering (MFA) var påslaget men inte obligatoriskt, lösenordshanterare var distribuerade men inte inbäddade i dagliga vanor, och processer för onboarding och offboarding försågs med användarnamn och hanterades informellt snarare än systematiskt. Vi misstänker, med tanke på populariteten hos webbläsarens inbyggda lösenordshanterare, att många inte ens använde en centraliserad plattform för teamet överhuvudtaget – utan i stället förlitade sig på ett lapptäcke av mindre säkra alternativ på individuell basis.
Var och en av dessa är en liten klyfta som förblir osynlig ända tills den inte är det.
Det verkliga måttet på hur du väljer att konfigurera säkerheten är inte vilka verktyg som finns på listan, utan om dessa verktyg håller måttet under den vardagliga pressen av hur människor faktiskt arbetar.
Här är några metoder för att stänga klyftan och hjälpa till att föra denna verklighet närmare ditt företag:
- Använd en lösenordshanterare byggd för team. Lösenordshanterare i webbläsare är inte bara mindre säkra, de saknar de admin-verktyg chefer behöver för att behålla full kontroll över dina konton. Om du inte har en lösenordshanterare för företag som är lätt att använda, kommer det inte att räcka.
- Granska vem som för närvarande har åtkomst till vad. Kontrollera användarlistorna för dina mest känsliga verktyg och se om några namn där kommer som en överraskning.
- Ersätt delade inloggningar med individuella konton. Även om det är lätt att dela inloggningar i en lösenordshanterare, är det inte bästa praxis: Delade inloggningar minskar synligheten på kontonivå, vilket gör det svårare att identifiera och reagera på ett intrång.
- Gör flerfaktorsautentisering till ett krav. MFA är ett av de mest effektiva skydden som finns — men bara när det tillämpas som standard, och inte lämnas som en valfri inställning.
- Gör offboarding systematisk. Varje avslut, oavsett om det gäller en anställd, entreprenör eller leverantör, bör omedelbart utlösa en åtkomstgranskning snarare än att göras i efterhand.
Vill du veta vad mer du kan lära dig av vår undersökning med 3 000 företagsledare på sex nyckelmarknader? Läs mer i vår SMB Cybersecurity Report 2026. Du får veta vad som orsakar intrång och vad de faktiskt kostar, var mänskliga fel visar sig oftast, hur moln- och AI-användning skapar nya blinda fläckar. Den innehåller också praktiska steg för att stärka skyddet som håller under verkliga förhållanden.
