Nätfiske och utnyttjande av annat lösenordsslarv är en av de vanligaste attackvägarna mot företag idag. Flerfaktorsautentisering är därför en av de viktigare säkerhetsinvesteringarna man kan göra för ett företag i dag.
Flerfaktorsautentisering, ofta förkortat MFA efter engelskans multi-factor authentication, är när man använder sig av två eller fler faktorer för autentisering mot ett system. De faktorer som man använder sig av idag är följande:
- Någonting som du vet: ett lösenord eller en pinkod.
- Någonting som du har: detta kan vara en mobiltelefon eller smart kort.
- Någonting som du är: det vill säga en biometrisk autentisering med fingerskanner, ögonskanner eller liknande.
- En plats som du befinner dig på.
Det vanligast att använda med sitt lösenord är något som du har, det kan vara allt från ett smart kort med certifikat, en hårdvarunyckel för usb eller en autentiseringsapp på mobiltelefon.
Även flerfaktorsautentisering har en del utmaningar som är viktiga att känna till när man ska välja lösning. Bland det vanligast sätten för att distribuera en token är via sms. Problemet med sms som bärare är att det har blivit vanligare att man lyckas kapa mobilnummer i så kallade sim swapping-attacker, man tar över mobilnumret och på så sätt kan man även ta över sms:et med koden. Sim swapping är så pass vanligt idag att amerikanska NIST slår fast att sms inte bör användas för autentisering.
Även autentiseringsappar har vissa brister som kan få allvarliga konsekvenser. Ser man till gratisappar har de ofta begränsad funktionalitet och om appen man använder inte har möjlighet till backup, eller kan autentisera från en annan enhet, så skapar det en risk för att låsa sig ute. Det är också en ökad komplexitet med koder i appar och en bättre lösning är att använda pushtekniken i mobiltelefonen för att bara svara ja eller nej vid access.
I dag finns det många lösningar för flerfaktorsautentisering på marknaden som kan ge ett bra skydd mot kapning av lösenord. När man ska välja lösning är det viktigt att fundera över följande frågor:
- Det viktigt att titta på funktion, hur vill du kunna använda multifaktorlösningen. Ska den användas för inloggning på enbart en tjänst eller vill du kunna använda den i hela infrastrukturen?
- Är det skillnad på hur den hanterar interna och publika tjänster? Går den att integrera med det publika molnet samtidigt som du kan använda den lokalt på dina serverar och i nätverket?
- Är lösningen enkel att använda för användaren? Den ska fungera både för systemadministratören och för ekonomiavdelningen. En lösning utan koder där allt sköts i bakkant förenklar systemet för alla användare.
Genom att använda flerfaktorsautentisering tillsammans med sitt lösenord kan man minska risken för kontokapning avsevärt, och det i sin tur minskar risken för att företaget ska förlora känsliga data vid ett dataintrång. Flerfaktorsautentisering är också ett steg närmare en zero trust-arkitektur, en arkitektur där man vill ge användare så specifik auktorisation som möjligt för att skydda känsliga data.
Jag tror att flerfaktorsautentisering är en av de viktigare säkerhetsinvesteringarna man kan göra för ett företag i dag och jag tycker att man ska se det som en viktig del i sin säkerhetsarkitektur.
Läs också: 11 konkreta tips för att upptäcka intrång i dina system
Befattning: Senior nätverks- och säkerhetskonsult
Företag: Conscia Netsafe
Linkedin: Mikael Gustafsson
Twitter: @Micke_G_
E-post: mikael.gustafsson@netsafe.se
Expertområden: Nätverks-, informations- och cybersäkerhet, säkerhetsarkitektur och -design.
Certifieringar: CCIE inom säkerhet, CISSP, samt ett par till.
Bakgrund: 15-års erfarenhet som senior konsult inom nätverks- och säkerhetsområdet på stora bolag och offentliga organisationer.