MFA

Hvad er MFA?

Multi faktor autentifikation eller autentisering (på engelsk: Multi Factor Authentication) – det er heldigvis ikke så besværligt at bruge som det er at sige – er en forkortelse der dækker over, at man bruger flere trin i sin loginprocedure end blot at indtaste sit brugernavn og sit kodeord.

Det giver sikkerhedsmæssige fordele for både virksomheder og private, når der skal logges ind på tjenester og hjemmesider på nettet. Vi har altid brugt to-trins login, når vi skulle logge på en vigtig tjeneste som netbanken. I tidernes morgen ved at have en nøglefil på vores computer, som var nødvendig for at logge på. Så fik vi nøglekortet af pap, og nu har vi NemID-app’en på vores smartphone.

Er et godt password ikke sikkert?

IT-eksperter og ”sikkerhedsnørder” advarer ofte om, at vi skal lave sikre kodeord, som er svære at gætte (vi må fx ikke bruge vores adresse eller fødselsdato), at vi ikke skal genbruge kodeord, og at vi skal skifte dem ud med jævne mellemrum. Og lytter vi til dem? Nogle gør naturligvis, og opretter stærke kodeord der ikke kan kobles til deres person, og ændrer dem efter sindrige systemer.

Der fås også programmer, der kan gemme alle dine kodeord i en sikker online-krypt. Din webbrowser kan også gemme dem for dig, og du kan sikre dem med én enkelt hovedadgangskode, som er den eneste du behøver huske. Så hvad er nu anledningen til alt dette loginhysteri?

Anledningen er naturligvis, at kodeord kan være gode eller dårlige, men de kan stadig brydes af ihærdige mennesker eller lækkes af uforudsete hændelser. Derfor er kodeord per definition ikke rigtigt sikre.

Det bringer os tilbage til… MFA.

Du kan afstemme MFA efter din smag

Ved at benytte multi faktor autentisering i din virksomhed kan du sørge for, at uvedkommende ikke får adgang til dine systemer, selv om de har adgangskoden. Med MFA bruger du et ekstra trin i loginproceduren. Når du har tastet korrekt brugernavn og adgangskode, vil du blive bedt om at bekræfte din identitet på én af flere måder.

Det kan være en engangskode, du får tilsendt som SMS eller får fra en elektronisk kodeviser. Det kan være via biometriske data, som fingeraftryk, ansigts- eller irisgenkendelse. Det lyder måske lidt futuristisk, men fremtiden er nu – og har længe været det. Du kan også installere en lille app, som hedder Microsoft Authenticator på din mobile enhed, og den gør MFA meget let. Pointen er, at brugernavn og adgangskode alene ikke længere er nok til at kompromittere dine data.

Hvilke trusler kan MFA beskytte imod?

Enhver uautoriseret person, der trænger ind i dit netværk, udgør en trussel. Kun en hackers evner og fantasi sætter grænser for, hvad vedkommende kan lave af ulykker:

• Industrispionage hvor hackeren stjæler forretningskritisk information
• CFO fraud hvor hackeren sender mails fra interne mailkonti til den økonomiansvarlige og beder om at få overført penge under et snedigt påskud
• Ransomware hvor hackeren krypterer et firmas filer og forlanger løsepenge for at udlevere krypteringsnøglen.

Hvad er risikoen?

De kolde tal viser, at konti der kun er beskyttet af brugernavn og kodeord er langt mere sårbare overfor hackerangreb end konti, som har to- eller flerfaktorbeskyttelse. Computerword beretter, at ifølge mediet ZDNet havde 99,9% af de Microsoft-brugerkonti, der i januar 2020 blev kompromitteret, ikke aktiveret flerfaktor-login. Microsoft har over en milliard aktive brugere per måned, så det er en statistik der taler for sig selv.

Det bliver rigtig risikabelt, når brugere med adgang til følsomme virksomhedsoplysninger bruger de samme loginoplysninger til privatbrug på hjemmesider, som kan være langt dårligere beskyttet mod misbrug end deres virksomheds netværk. Hvis virksomheden ikke bruger multifaktor-login, kan et opsnappet login uden videre bruges til at tilgå de samme oplysninger, som medarbejderen har adgang til i hverdagen.

Med et ekstra trin i login-processen er brugernavn og kodeord ikke tilstrækkeligt. For at få adgang til systemet skal hackeren også stjæle den fysiske enhed (kodeviser eller telefon), som får tilsendt engangskoden.

Magelighed overfor sikkerhed

Når virksomheder bruger mange tjenester fra en enkelt softwareudbyder som fx Microsoft, kan man med single sign-in få adgang til mange forskellige programmer på én gang. Det gør arbejdsdagen langt lettere, end hvis medarbejderne skal bruge flere logins for at få adgang til forskellige systemer.

Samtidig er det oplagt at lægge et ekstra lag sikkerhed på, så medarbejderne med jævne mellemrum bliver bedt om at bekræfte, at de nu også er dem de giver sig ud for. Ikke mindst når de logger på fra en anden lokation end de plejer. Du kender det sikkert også fra ferier, hvor din Outlook eller Gmail registrerer, at du pludselig logger ind fra Gran Canaria. Så får du tilsendt en kode, du skal bruge til at bekræfte, at det er dig, der er på spil.

At blive bedt om en engangskode med jævne mellemrum betyder ikke nødvendigvis flere gange om dagen. Det kan sagtens være én gang om dagen eller en gang om ugen, eller naturligvis ved login fra en ny enhed eller fra en ny geografisk placering.

Omkostninger ved at komme i gang

Der er naturligvis tale om en investering, når multi faktor autentisering skal implementeres. Der kan være tekniske udfordringer, da drivere til autentifikationen gør virksomhedens IT-setup en smule mere komplekst. Desuden kan MFA ikke køre sideløbende online og på fysiske drev. Her kan migrering til cloud-baseret IT-hosting være en langsigtet løsning.

Hvis virksomhedens nuværende systemer ikke tillader flerfaktor-login, er det nødvendigt at skifte ud med noget nyere, hvilket under alle omstændigheder ville være et fornuftigt træk. Det langsigtede udbytte ved tilstrækkeligt moderne sikkerhed kan hurtigt opveje omkostningerne til etableringen, hvis kritiske systemer bliver sat ud af funktion af ubudne gæster.

På den anden side kan en mistet eller glemt telefon kan gøre login vanskeligt for personer, som gerne må tilgå systemet. Men i det mindste kan det opmuntre os alle sammen til at passe ekstra godt på og tænke over sikkerheden.

Når virksomheder bruger mange tjenester fra en enkelt softwareudbyder som fx Microsoft, kan man med single sign-in få adgang til mange forskellige programmer på én gang. Det gør arbejdsdagen langt lettere, end hvis medarbejderne skal bruge flere logins for at få adgang til forskellige systemer. Men det stiller naturligvis høje krav til sikkerheden.

Microsoft Authenticator gør det nemt

Authenticator kan minde om NemID-app’en, som du benytter hver gang du skal logge ind på hjemmesider med fortrolig information – hvis du da ikke stadig bruger et papkort. Authenticator genererer en ny sekscifret adgangskode hvert 30. sekund. Når du bliver bedt om at logge på med en engangskode, åbner du Authenticator og taster den kode, som vises i displayet.

Du kan gøre processen endnu hurtigere ved at aktivere logon via telefon, så du end ikke behøver at indtaste koden. Det kræver, at din enhed registreres og godkendes i virksomhedens interne IT-sikkerhedspolitik. Den slags kan fx administreres gennem et andet nyttigt Microsoft-produkt ved navn Intune.

Kom med til MFA-festen

Fiks IT har for nylig indført MFA. Når vores medarbejdere logger på deres Office 365-konto, bliver de bedt om en engangskode, efter at de har indtastet brugernavn og adgangskode. De fleste bruger en kode fra Microsoft Authenticator, fordi det er nemt og uden ventetid. Andre foretrækker SMS, og hvis du fx er hoppet af smartphone-vognen (eller aldrig hoppede på), vil SMS være et oplagt valg for dig.

Det vigtigste er, at du vælger et ekstra lag af sikkerhed. Så ved du, at du har gjort dit for at sikre dine værdier. Har du brug for hjælp til, hvordan du skal gribe det an, er du naturligvis velkommen til at kontakte os og få en uforpligtende samtale.