Kodeord er stadig et meget svagt punkt for mange; vi glemmer at forny dem, vi genbruger dem overalt, og de er ofte alt for lette at gætte.
Der er mange måder at forbedre sikkerheden på, og jeg har selv tidligere skrevet om, at du faktisk kun behøver syv kodeord for at klare dig i hverdagen. Det kan du læse meget mere om her.
En anden måde, vi ofte ser brugt, f.eks. når vi bruger MitID i hverdagen, er 2-faktor, der også falder ind under kategorien multifaktor-godkendelse, MFA (Multi-Factor Authentication). Ved at bruge MFA er det muligt at forlange, at en bruger skal bruge en eller flere yderligere metoder for at bekræfte sin identitet. Vi snakker her om, at brugeren skal bruge noget, han ved (f.eks. kodeord), noget, han har (f.eks. smartphone og app) og eventuelt også noget, han er (det kan f.eks. være fingeraftryk eller ansigtsgenkendelse).
På den måde bliver målet med MFA at skabe et ekstra lag af sikkerhed, der gør det mere kompliceret – om end ikke umuligt – for en uautoriseret bruger, f.eks. en hacker, at komme ind på andres konti. Selv hvis brugeren mister kodeord og brugernavn, vil der stadig være mindst én barriere, der skal overstiges.
Hvor vi oprindeligt primært brugte 2-faktor-godkendelse (2FA), så bruger vi stort set udelukkende betegnelsen MFA i dag, og ofte bruges der da også flere faktorer, specielt hos virksomheder, når brugere skal godkendes.
MFA hjælper specielt, når logindetaljer er blevet lækket, virksomheder udsættes for angreb som Brute Force, eller når de cyberkriminelle bruger automatiske værktøjer til at knække kodeord. Selvom de langt fra er nye metoder, så virker de desværre stadig forbavsende effektivt, og her kan MFA tilføje et lag af sikkerhed, der sikrer mod disse traditionelle angreb.
Som jeg skrev før, så består MFA af flere forskellige metoder, og dem vil jeg godt lige gå lidt mere i dybden med.
Noget, brugeren ved: Den form for godkendelse kræver typisk, at brugeren svarer på et personligt spørgsmål. Det kan f.eks. være kodeord, identifikationsnummer (PIN-nummer) og en-gangs kodeord (også kaldet for one-time passwords, OTP). Den form for identifikation bruges typisk, når du skal:
- bruge dit kreditkort og skal indtaste din PIN-kode
- hente en VPN-klient med et godkendt digitalt certifikat og logge ind på VPN’en, inden du får adgang til netværket
- udlevere information, altså svare på et hemmeligt spørgsmål for at få systemadgang
Noget, brugeren har: Her er det nødvendigt for brugeren at have noget bestemt på sig for at logge ind, det kan være en token, en nøgle fob eller en smartphone (med registreret telefonnummer). Og her er et par vigtige elementer for denne type godkendelse:
- Sikkerhedstokens er små hardware-enheder, der indeholder brugerens personlige information, og som bliver brugt til at godkende brugerens identitet elektronisk. Denne token kan være et smart card, en chip i et objekt, en usb-dongle eller en trådløs tag.
- En software-baseret sikkerhedstoken generer en 1-gangs PIN-kode til login. Denne form for soft-tokens bruges ofte til mobil MFA, hvor enheden selv – typisk en smartphone – er det, brugeren har.
Noget, brugeren er: Er en godkendelsesform, hvor biometri bliver brugt i forbindelse med login og kan være følgende:
- Retina- eller iris-scan
- Fingeraftryk
- Stemmegodkendelse
- Håndgeometri
- Digital signatur
- Ansigtsgodkendelse
- Øregeometri
I visse tilfælde kan telefonen levere de biometriske informationer, i andre tilfælde bruges der en ekstern scanner, blandt andet hos de danske bloddonorer, hvor du som donor får scannet din finger, før du kan give blod.
I visse tilfælde kan lokaliteten bruges som en fjerde godkendelsesfaktor, og her kan smartphonen også levere den nødvendige information via GPS-information. På den måde kan bestemte placeringer markeres som sikre eller godkendte til login.
Endelig kan tidsbaseret godkendelse også bruges, så det kun er muligt at logge ind på et system på et bestemt tidspunkt.
For at opnå den bedste sikkerhed uden at genere brugeren kan de forskellige metoder af MFA blandes.
Fordelene ved MFA: Du kan få flere lag af sikkerhed. Du kan få tilsendt en-gangs kodeord til en godkendt smartphone, kodeord der er tilfældigt genereret i realtid, og som er svære at knække.
De kan let sættes op af brugerne, og de kan give adgang på bestemte tidspunkter af døgnet. Endelig er de skalerbare, så virksomhederne kan få deres MFA-løsning til at vokse i takt med, at de selv vokser.
Ulemperne ved MFA: Det kræver ofte en smartphone. Tokens kan tabes eller stjæles, og det gælder også for telefonen.
De biometriske data, der bliver beregnet af MFA-algoritmer, er ikke altid præcise og kan give falske positiver og negativer.
MFA-teknikkerne skal konstant opgraderes for at beskytte mod cyberkriminelle, der hele tiden forsøger at knække dem.
MFA er mange ting og kan forøge sikkerheden både hos private og hos virksomheder. Men det er vigtigt at huske, at det ikke må blive en sovepude, for så har cyberbanditterne vundet.
Husk at du på cybervejret.dk kan få en ugentlig opdatering om it-sikkerhed. Her tager jeg hver uge pulsen på cybersikkerhedssituationen i Danmark og resten af verden.