To-faktor godkendelse: hvad er det og hvordan fungerer det

 In It-sikkerhed, Microsoft

To-faktor godkendelse er en sikkerhedsforanstaltning som forbedrer din sikkerhed markant. Teknologien kaldes også to-faktor autentifikation eller 2-trins autentifikation.

Da staten pålagde hele landet at bruge NemID, lærte vi alle meget hurtigt, hvad to-faktor godkendelse er for en størrelse. Vi lærte også, at selv om folk gættede vores kodeord, ville de aldrig få adgang, uden at have et papkortet i hånden. Det er to-faktor godkendelse i en nøddeskal.

Hvad er to-faktor godkendelse?

I dag bruger vi typisk kun ét godkendelses-trin, typisk en adgangskode, til at logge ind. Det betyder, at hvis en uautoriseret person får fat i din adgangskode, har de fri adgang til din konto.

Med to-faktor godkendelse, tilføjer du endnu et trin i log-in processen, som autentificerer dig.

Når du har indtastet dit brugernavn og adgangskode, skal du blot godkende på din telefon, at det er dig der foretager et log-ind.

Udover at anmode om noget man kender (i dette tilfælde dit kodeord), så vil en to-faktor beskyttet konto også anmode om information fra noget du har (papkort eller kode fra mobilen).

Hvordan fungerer to-faktor godkendelse?

SMS autentificering (SMS 2FA)

For at aktivere SMS to-faktor godkendelse på en side, skal man opgive sit telefonnummer. Næste gang man logger ind med brugernavn og kodeord, får man en anmodning om at indtaste den engangskode, som modtages per SMS. Denne løsning er populær, fordi den ikke kræver installation af en app, og tilføjer en vis sikkerhed.

Ulempen er dog, at nogen ikke synes om at opgive deres mobilnummer til en given hjemmeside eller platform. Det er faktisk forståeligt nok, fordi det kan identificere, hvem man er. Desværre udnytter nogle hjemmesider også muligheden for at bruge mobilnummeret til andre formål en to-faktor godkendelse. Det betyder også, at hackere som overtager telefonnumre vil kunne få adgang til en konto uden at kende kodeordet. Desuden kræver SMS 2FA, at enheden har strøm og er tilkoblet et mobilnetværk.

App-baseret autentificering (TOTP 2FA)

TOTP 2FA eller Time-Based One Time Password er endnu en app-baseret løsning, som genererer koder lokalt – baseret på en sikkerhedsnøgle. Et godt eksempel på sådan en app er Google Authenticator.

Hvis en hjemmeside benytter TOTP 2FA, vises sikkerhedsnøglen som en QR-kode, der skal scannes ind i appen. Har man flere enheder, kan man scanne den flere gange. Når QR-koden er scannet, vil appen producere 6-cifrede koder hvert 30. sekund. Ligesom ved SMS 2FA skal man så indtaste koden udover det normale login.

Tidsbaserede engangskodeord igennem en app kan være en fordel, fordi sikkerhedsnøglen lagres fysisk på mobilen, men også fordi den ofte kan bruges uden internetadgang. Så selv hvis mobilnummeret omdirigeres, kan man ikke få adgang til to-faktor koderne. Men, bliver enheden stjålet og man ikke har en backup af den originale QR-kode, så risikerer man at miste adgang til kontoen.

TIP 1: for ekstra backup, kan man med fordel tage et screenshot af QR-koden eller printe den. Vær dog opmærksom på, at det stadig er vigtigt at beskytte fysisk data.
TIP 2: Brug SMS 2FA som din backup to-faktor løsning.

 

E-mail baseret autentificering

Andre sider bruger e-mail baseret autentifikation. På samme måde som SMS 2FA, får man tilsendt en engangskode til sin e-mail, hver gang man logger ind fra en ny enhed. Det sikrer, at angreb udefra kræver adgang til både login og e-mail konto for at få adgang til en hjemmesidekonto.

Dog skal man være opmærksom på, at denne form for to-faktor godkendelse nemt kan gennemskues af en hacker – især hvis man ikke har to-faktor godkendelse på sin e-mail konto. Undgå derfor at bruge metoden, hvis der findes andre stærkere muligheder, f.eks. en app-baseret autentifikation.

Fysisk sikkerhedsnøgle (FIDO U2F)

Man ser den ikke så tit, men den eksisterer. U2F eller Universal Second Factor er en fysisk nøgle som sættes i en USB port. Først registreres sikkerhedsnøglen på den valgte side. Næste gang man logger in, vil siden så anmode om at tilkoble nøglen og godkende login. Man skal altså ikke bruge koder som ved SMS eller TOPT 2FA.

Sikkerhedsmæssigt kan en fysisk sikkerhedsnøgle være at foretrække, fordi dine forskellige konti derved er sværere at kompromittere udefra (f.eks. via phishing).

Uanset hvilken løsning man vælger, så er det altid en god idé at have en hard-copy backup, så man ikke risikerer at blive logget ud af egne konti, når man har mest brug for dem. Selvom to-faktor godkendelse er en smart måde at optimere it-sikkerheden, så fikser det ikke et svagt kodeord. Derfor er det stadig vigtigt at prioritere et stærkt og unikt kodeord.

Det var fire af de gængse to-faktormetoder, men der findes mange flere; bl.a. push-baseret autentifikation, gendannelseskoder og biometrisk id (fingeraftryk). Se her en oversigt over hvilke store webtjenester, som understøtter to-faktor godkendelse.

To-faktor godkendelse i Microsoft 365

I Microsoft 365 findes der mange muligheder for at forbedre sikkerheden. Èn af dem, er to-faktor godkendelse.

Vi har hjulpet mange virksomheder med at implementere it-sikkerhedstiltag. Hos Infowise kender vi faldgruberne når det kommer til at benytte to-faktor godkendelse.

Alle virksomheder som bruger Microsoft’s Office 365 kan nemt opsætte to-faktor godkendelse for hele virksomheden. Vi anbefaler dog at man tænker sig om, inden man slår funktionen til. Gør man ikke det, kan man risikere at medarbejderene ikke kan få adgang til systemerne, eller at en integration med en tredjepart stopper med at fungere.

Det kræver derfor en kommunikativ indsats fra it-chefen eller ledelsen, som skal forklare hvorfor det er nødvendigt, og hvordan det fungerer.

Vi anbefaler naturligvis, at man benytter to-faktor godkendelse for alle medarbejdere i virksomheden. Det er god dataskik og er en af de ting, der hjælper dig med at komme i mål med den tekniske del af GDPR.

 

Var disse oplysninger nyttige?

Seneste indlæg