Før to-faktor godkendelse brugte vi typisk kun ét godkendelses-trin, en adgangskode, til at logge ind. Det betød, at hvis en uautoriseret person fik fat i adgangskoden, var der fri adgang til kontoen.
Men da staten pålagde hele landet at bruge NemID, lærte vi alle meget hurtigt, hvad to-faktor godkendelse er for en størrelse. Vi lærte også, at selv om folk gættede vores kodeord, ville de aldrig få adgang, uden at have vores papkort i hånden.
Det er to-faktor godkendelse i en nøddeskal.
Med to-faktor godkendelse tilføjer du endnu et trin i log-in processen, som autentificerer dig.
Udover at anmode om noget man kender (i dette tilfælde et kodeord), så vil en to-faktor beskyttet konto også anmode om information fra noget man har (papkort eller kode fra mobilen). På den måde godkender du, at det er dig, der foretager et log-in.
Hvordan fungerer to-faktor godkendelse?
App-baseret autentificering (TOTP 2FA)
TOTP 2FA eller Time-Based One Time Password er en app-baseret løsning, som genererer koder lokalt – baseret på en sikkerhedsnøgle. Et godt eksempel på sådan en app er Google Authenticator.
Hvis en hjemmeside benytter TOTP 2FA, vises sikkerhedsnøglen som en QR-kode, der skal scannes ind i appen. Har man flere enheder, kan man scanne den flere gange. Når QR-koden er scannet, vil appen producere 6-cifrede koder hvert 30. sekund. Ligesom ved SMS 2FA skal man så indtaste koden udover det normale login.
Tidsbaserede engangskodeord igennem en app kan være en fordel, fordi sikkerhedsnøglen lagres fysisk på mobilen, men også fordi den ofte kan bruges uden internetadgang. Så selv hvis mobilnummeret omdirigeres, kan udefrakommende ikke få adgang til to-faktor koderne. Men, bliver enheden stjålet og man ikke har en backup af den originale QR-kode, så risikerer man at miste adgang til kontoen.
- TIP 1: For ekstra backup, kan man med fordel tage et screenshot af QR-koden eller printe den. Vær dog opmærksom på, at det stadig er vigtigt at beskytte fysiske data.
- TIP 2: Brug SMS 2FA som din backup to-faktor løsning.
E-mail baseret autentificering
Andre sider bruger e-mail baseret autentifikation. På samme måde som SMS 2FA, får man tilsendt en engangskode til sin e-mail, hver gang man logger ind fra en ny enhed. Det sikrer, at angreb udefra kræver adgang til både login og e-mail konto for at få adgang til en hjemmesidekonto.
Dog skal man være opmærksom på, at denne form for to-faktor godkendelse nemmere kan gennemskues af en hacker. Det kræver altså, at man også sikre sin email med to-faktor godkendelse. Undgå derfor at bruge metoden, hvis der findes andre stærkere muligheder, f.eks. en app-baseret autentifikation.
Fysisk sikkerhedsnøgle (FIDO U2F)
Man ser den ikke så tit, men den eksisterer. U2F eller Universal Second Factor er en fysisk nøgle som sættes i en USB port. Først registreres sikkerhedsnøglen på den valgte side. Næste gang man logger ind, vil siden anmode om at tilkoble nøglen og godkende login. Man skal altså ikke bruge koder som ved SMS eller TOPT 2FA.
Sikkerhedsmæssigt kan en fysisk sikkerhedsnøgle være at foretrække, fordi de forskellige konti derved er sværere at kompromittere udefra (f.eks. via phishing).
SMS autentificering (SMS 2FA)
For at aktivere SMS to-faktor godkendelse på en side, skal man opgive sit telefonnummer. Næste gang man logger ind med brugernavn og kodeord, får man en anmodning om at indtaste den engangskode, som modtages per SMS. Denne løsning er populær, fordi den ikke kræver installation af en app, men stadig tilføjer en vis sikkerhed.
Ulempen er dog, at nogen ikke synes om at opgive deres mobilnummer til en given hjemmeside eller platform. Det er faktisk forståeligt nok, fordi det kan identificere, hvem man er. Desværre udnytter nogle hjemmesider også muligheden for at bruge mobilnummeret til andre formål end to-faktor godkendelse. Det betyder, at hackere, som overtager telefonnumre, kan få adgang til en konto uden at kende kodeordet. Desuden kræver SMS 2FA, at enheden har strøm og er tilkoblet et mobilnetværk.
Hvilken type 2FA skal jeg vælge?
Uanset hvilken løsning man vælger, så er det altid en god idé at have en hard-copy backup, så man ikke risikerer at blive logget ud af egne konti, når man har mest brug for dem.
Og selvom to-faktor godkendelse er en smart måde at optimere IT-sikkerheden, så fikser det ikke et svagt kodeord. Derfor er det stadig vigtigt og nødvendigt at prioritere et stærkt og unikt kodeord.
Vi har præsenteret fire af de gængse to-faktormetoder, men der findes mange flere; bl.a. push-baseret autentifikation, gendannelseskoder og biometrisk ID (fingeraftryk). Se oversigten over, hvilke store webtjenester, som understøtter to-faktor godkendelse.
To-faktor godkendelse i Microsoft 365
I Microsoft 365 findes der mange muligheder for at forbedre sikkerheden. Èn af dem, er to-faktor godkendelse.
Vi har hjulpet mange virksomheder med at implementere IT-sikkerhedstiltag. Derfor kender vi faldgruberne ved to-faktor godkendelse i praksis.
Alle virksomheder, som bruger Microsoft’s Office 365 eller Microsoft 365, kan nemt opsætte to-faktor godkendelse for hele virksomheden. Vi anbefaler dog, at man tænker sig om, inden man slår funktionen til. Gør man ikke det, kan man risikere, at medarbejderene ikke kan få adgang til systemerne, eller at en integration med en tredjepart stopper med at fungere. Derfor kræver det en kommunikativ indsats fra IT-chefen eller ledelsen, som forklarer hvorfor det er nødvendigt og hvordan det fungerer.
Vi anbefaler naturligvis, at man benytter to-faktor godkendelse for alle medarbejdere i virksomheden – hvis det giver mening. Det er god dataskik og kan hjælpe dig med at komme i mål med den tekniske del af GDPR.