Tofaktorautentisering er ikke noe du kan velge bort i vår digitaliserte verden. Uten tofaktor, stiller du deg helt åpen for enkle dataangrep fra cyberkriminelle. Og de er på jakt etter deg også.
Kjært barn har mange navn, og begrepene tofaktorautentisering, totrinnsverifisering, 2-faktorautentisering, two-step verification, totrinnskontroll og flerfaktorautentisering brukes om hverandre. Uansett hvilken benevnelse du velger, er det noe du må forholde deg aktivt til. Det bør aldri velges bort eller skrus av, men det er det dessverre mange som ønsker å gjøre.
Hvordan skru av tofaktorautentisering?
Google-søket «Hvordan skru av tofaktorautentisering» har et søkevolum på over 140 i måneden i Norge, dersom du slår sammen trafikken fra ulike varianter av søket. I den private sfære ser vi nesten annenhver dag at en eller annens facebook-konto har blitt hacket. Det er stor sjanse for at disse har valgt bort tofaktorautentisering.
Nasjonal Sikkerhetsmyndighet (NSM) advarer mot at dataangrep mot virksomheter i offentlig sektor og private bedrifter er blitt dagligdags. Da burde det være en selvfølge at alle virksomheter bruker tofaktorautentisering, men slik er det dessverre ikke. Årsaken? Hvem vet, men det kan hende at det oppfattes som at innloggingsprosessen gjøres unødvendig vanskelig. Det trenger det ikke være. Så hva er egentlig tofaktorautentisering (2FA)?
Les også: Derfor er e-post hackernes beste venn og din verste fiende!
Hva er tofaktor/2-faktorautentisering?
2FA er en praksis hvor du legger til et ekstra sikkerhetsnivå i tillegg til brukernavn og passord for eksempel for å få tilgang til jobbnettverket. Du må vise fram flere bevis på at du er den du utgir deg for å være. De to faktorene er som regel noe du vet og noe du har. Det blir også stadig mer vanlig at et av sikkerhetsnivåene består av noe du er, som fingeravtrykk eller ansiktsgjenkjenning.
I Data Equipment bruker vi betegnelsene 2-faktor/2FA og MFA, når vi refererer til tofaktorautentisering og flerfaktor eller multifaktorautentisering. Det er noen forskjeller mellom 2-faktor og MFA. 2-faktor innebærer som oftest at du legger inn brukernavn og passord, og i tillegg umiddelbart får et pushvarsel til din mobiltelefon, hvor du kan bekrefte din identitet.
MFA er mye det samme, og dekker løsninger med to eller flere faktorer. 2FA er altså MFA, men MFA er ikke nødvendigvis 2FA. En tredje faktor i en MFA-løsning kan være at innloggingen til applikasjonen må skje fra en godkjent, sikret enhet. Det vil si for eksempel en bærbar PC som er satt opp og godkjent av IT-avdelingen. Andre faktorer kan være lokasjon og biometri.
- MFA = brukernavn og passord pluss godkjent enhet pluss mobilautentisering.
- 2-faktor = brukernavn og passord pluss mobilautentisering
2FA og hardware tokens
Tofaktorautentisering er en metode for tilgangskontroll og tilgangsstyring som kan brukes overalt. Det bør legges inn i alle nettverk og applikasjoner som virksomheten bruker og er også en måte å styre tilganger på. Ansatte som ikke jobber med lønn, trenger eksempelvis ikke tilgang til lønnsapplikasjonen. 2-faktor gir dere et ekstra sikkerhetslag, og det trenger dere.
Det finnes flere nivåer av sikkerhet også når det gjelder tofaktorautentisering. Engangskoder på SMS ble mye brukt tidligere, men det er relativt lett for datakriminelle å få tak i denne koden. Derfor ble løsningen med pushvarsler innført. Men heller ikke denne tofaktorløsningen er 100 % sikker.
Det er mulig å gjøre tofaktorløsningen enda sikrere gjennom å bruke hardware tokens – en fysisk gjenstand som for eksempel en USB som må settes inn i PC-en din for å bekrefte identiteten din. Sikkerheten kan forsterkes ytterligere ved at den har en fingeravtrykksleser for eksempel.
Hvorfor må jeg ha tofaktorautentisering?
Passord er en meget svak beskyttelse i dagens moderne samfunn. Hvem som helst kan
hacke en annen person, ved å laste ned et script som finner passordet deres. I tillegg er passordene folk bruker ofte veldig enkle å finne ut eller gjette seg til. Selv om det har blitt advart mot det gjentatte ganger er det fortsatt mange som bruker enkle passord som Sommer2023, 123456 eller navnet til ektefelle eller kjæledyr. De bruker også det samme passordet flere steder. Men dersom du har skrudd på tofaktorautentisering, kommer det ikke uvedkommende inn allikevel.
Les også: Hvis du tror du har passordene dine for deg selv, tar du feil
Brute Force Attacks er en velkjent metode til å bryte seg inn på andres enheter. Dette går ut på at angriperen prøver å gjette seg til riktig passord ved å prøve igjen og igjen. For å øke sjansen for treff brukes informasjon som ordlister, adresselister og opplysninger fra sosiale medier. Et slikt angrep går automatisk i form av et script, helt til det treffer riktig bokstav, tegn og tallkombinasjon i passordet ditt. Tofaktorautentisering beskytter deg mot slike dataangrep.
Phishing eller nettfisking eller nettfisking er en annen velkjent metode. Hva er phishing? Et typisk eksempel er at du får en e-post som ber deg oppgi brukernavn og passord. Disse har de fleste oss sett mange ganger, man får ofte en mail fra «Posten», «Microsoft» eller «Facebook». E-posten kan se legitim ut med riktig font og logo, men det er en dataangriper som har satt opp en kopiside og får tilgang til informasjonen din. Tofaktor bidrar til å beskytte deg mot dette, og du bør aktivere det på alle steder som har mulighet. Selv om de mest avanserte angriperne til en viss grad greier å omgå tofaktor, er det fortsatt uendelig mye bedre enn rene brukernavn og passord.
Les også: Duo Security – tofaktorautentisering som er både sikker og brukervennlig!
Slik beskytter du deg mot avanserte phisingangrep
Meddler in the middle- angrep og tilsvarende har vært en økende trend siden midten av 2022. Et slikt phishing-angrep består i at angriperen i stedet for å lage en kopi av siden, introduserer en reverse-proxy. Dette betyr at offeret lures til å sende trafikken sin via angriperens systemer, som så videresender det til den ekte siden. Offeret blir altså presentert for den faktiske, ekte påloggingssiden til Microsoft 365/Facebook/Posten, men via en mellommann.
Dette gjør at det svært vanskelig for offeret å oppdage angrepet, og når brukeren logger seg inn, så får brukeren faktisk tilgang til den forventede tjenesten, for eksempel Office 365. Problemet er at all trafikken sendes via angriperens proxy, som så kan dekode og lese alt som sendes frem og tilbake, inkludert den såkalt autentiserings-cookien.
Denne cookien kan så brukes til å opprette egne separate forbindelser for angriper til Microsoft 365, og alle andre sider som benytter Microsoft 365 som Single Sign On-løsning.
Les mer om Meddler in the middle her!
For å komme slike angrep til livs må man i tillegg til 2FA innføre en protokoll som heter FIDO2/Webauthn. FIDO2 innfører en metode der mottager sjekker at avsender faktisk er riktig, og forhindrer dermed dette angrepet. FIDO2 protokollen sørger altså for at brukeren kan være sikker på at den som spør etter brukernavn og passord faktisk er den han utgir seg for å være.
I praksis betyr dette enda et sikkerhetslag i form av hardware tokens/FIDO2 nøkler. Dette kan være fysiske nøkler av typen Yubikey eller Titankey, eventuelt innebygd i datamaskinen eller mobilenheten. Både Apple og Microsoft har innebygd FIDO2-maskinvare gjennom henholdsvis Apple TouchID/FaceID og Microsoft Hello. Fordelen for brukerne er at FIDO2 protokollen legger opp til at man kan kutte ut brukernavn og passord.
Tofaktorløsningen må være brukervennlig!
Tofaktor kan i praksis være så mangt. Derfor er det veldig viktig å velge en brukervennlig og enkel, men allikevel sikker løsning. Blir det for tungvint og vanskelig vil du møte stor motstand internt. I Data Equipment bruker og anbefaler vi Duo Security. Her er tofaktorelementet en pushmelding til telefonen din, hvor du bare må bekrefte at du er den du er. Du slipper altså å huske en kode på 6 siffer som du har fått på e-post eller SMS.
Siden målet er at alle i organisasjonen skal bruke tofaktor, må den være like enkel å bruke for Knut i resepsjonen som for Irene som er IT-sjef. Du kan si at tofaktor fungerer som en låst safe i en bank. Uvedkommende kan lett komme seg inn i banken, men uten nøkkelen eller koden til safen, så får de ikke stjålet verdisakene. Nasjonal Sikkerhetsmyndighet NSM mener at tofaktorautentisering er viktigere enn noensinne.
Hvis passordet ditt kommer på avveie sørger tofaktorautentisering for at det samme ikke skjer med selve brukerkontoen din. Alle virksomheter må innføre 2FA. Du bør velge en tofaktorløsning som har Zero Trust som utgangspunkt. Det vil si at man i utgangspunktet ikke stoler på noen og at man gir tilganger etter behov. Vår partner Duo Security har sin egen strategi for Zero Trust. MFA eller sterkere autentisering er nøkkelen for å klare og oppnå Zero Trust. De mest kjente aktørene som tilbyr tofaktorløsninger er Microsoft, Google og Duo Security, men det finnes en rekke andre også. Den store fordelen med Duo Security er at den kan integreres mot hva som helst, enten du bruker Google eller Microsoft 365. Deres løsninger kan hovedsakelig brukes på egne produkter.
Hvorfor bruker ikke alle tofaktorautentisering?
Som jeg allerede har vært inne på, så er det overraskende mange virksomheter som ennå ikke har tatt i bruk tofaktorautentisering. Det er mulig at de rett og slett ikke vet hvor viktig det er?
Det kan også være en brems at det kan oppfattes som et veldig stort prosjekt siden det omfatter alle i organisasjonen. Det er et prosjekt som krever at det gis ut god informasjon på forhånd og god veiledning i hvordan man bruker tofaktorløsningen i praksis. Men det er et lite prosjekt sammenlignet med de fleste andre IT-prosjekter. Det krever heller ikke mye å få det opp og stå. En del tror kanskje også at prisen på tofaktor er høy, men det stemmer ikke. Velger man for eksempel Duo Security, så betaler man en avgift per bruker.
I praksis virker det som om mange daglig ledere eller virksomhetsledere har 2FA på «to do-lista», men ganske langt ned. Kjenner du deg igjen? Da bør du flytte tofaktor opp til toppen av lista. Mange av de kjente cyberangrepene kunne vært unngått med tofaktor. Et relativt ferskt eksempel er angrepet på Stortinget i 2020 som man mener Russland sto bak. Da ble det besluttet å innføre obligatorisk totrinnsverifisering for å skjerpe e-postsikkerheten, men et nytt vellykket dataangrep ble utført i 2021. Årsaken var at flere ansattgrupper ennå ikke hadde fått totrinnsverifisering.
Det er også en del virksomheter som har innført tofaktor, men kun på noen brukere og enkelte apper, for eksempel er det satt opp tofaktor på Microsoft 365, men ikke på lønnssystemet. Det er utrolig viktig at tofaktor brukes på absolutt alt av applikasjoner og tjenester. Det illustreres godt av eksempelet fra Stortinget.
Hvordan kommer du i gang med prosjekt tofaktorautentisering?
Det må skje 2 viktige ting.
- Det må tas en virksomhetsbeslutning om at tofaktor skal innføres i hele organisasjonen og settes opp et prosjekt. Det skal ikke være mulig å komme utenom bruk av 2FA eller MFA.
- En tofaktor-applikasjon lastes ned på telefonene til alle ansatte. Det sendes ut et enkelt informasjonsskriv om hvor appen kan lastes ned og hvordan den brukes.
Husk at i disse dager står sikkerhet i fokus og dette kommer ikke til å bli mindre viktig. Det er estimert at det globale cybersikkerhetsmarkedet skal øke med 88% innen 2026. DUO Security støtter også bruk av FIDO2 nøkler eller hardware tokens som altså vil gi deg beskyttelse også mot de mest sofistikerte av dataangripere.
Klikk under for å få Data Equipments sjekkliste om tofaktorautentisering rett i innboksen din! 👇
