Opnå bedre lag af sikkerhed ved at implementere fler-faktor-autentifikation
Hvis man supplerer et godt password med et ekstra trin, som for eksempel en engangskode, kan man opnå styrket sikkerhed.
10. april, 2019 - Kl. 11.13
[Oprindeligt publiceret af Center for Cybersikkerhed]
Mange systemer giver i dag mulighed for at anvende fler-faktor-autentifikation, det vil sige, at brugeren får adgang med sit brugernavn kombineret med noget brugeren ved (eksempelvis en pinkode eller password), har eller får (eksempelvis et ID kort, nøglekort eller kode på mobiltelefonen) eller er (eksempelvis irisscan eller fingeraftryk). NemID's papkort eller mobilapp er eksempler på en ekstra faktor ved login.
Et godt password med god længde og høj kompleksitet kan med fordel suppleres med det ekstra lag af sikkerhed som fler-faktor-autentifikation udgør. Herved gøres det endnu vanskeligere for hackere og cyberkriminelle. I første omgang kan fler-faktor-autentifikation indføres på ens kritiske systemer. Dette kan også kombineres med yderligere sikkerhedsforanstaltninger ved login. Det kan eksempelvis være at brugeren eller it-afdelingen orienteres via e-mail eller anden kanal, hvis en bruger logger på fra en ny enhed.
Indførelsen af fler-faktor-autentifikation kan også være anledningen til at vurdere ens samlede sikkerhed og identificere eventuelle svage punkter. Det kan eksempelvis være brug af sms-engangskoder til tjenester, der anvendes på mobiltelefoner, og derfor kan blive kompromitteret på én gang, hvis telefonen mistes eller inficeres med malware. Man bør også holde sig for øje, at SMS som udgangspunkt ikke sendes krypteret.
Derudover er der også muligheden for, at man registrerer fejlslagne loginforsøg samt har en fungerende politik for spærring af adgang ved mistanke om forsøg på misbrug. Denne politik skal tage hensyn til brugerne og systemets følsomhed. Eksempelvis er det ikke nødvendigvis hensigtsmæssigt at lukke for adgang efter tre fejlslagne forsøg. I stedet bør faktorer, der kan indikere en afvigelse fra normalmønstret indgå. Det kunne eksempelvis være et antal fejlslagne loginforsøg over et døgn eller fejlslagne loginforsøg på usædvanlige tider af dagen.
Mange systemer giver i dag mulighed for at anvende fler-faktor-autentifikation, det vil sige, at brugeren får adgang med sit brugernavn kombineret med noget brugeren ved (eksempelvis en pinkode eller password), har eller får (eksempelvis et ID kort, nøglekort eller kode på mobiltelefonen) eller er (eksempelvis irisscan eller fingeraftryk). NemID's papkort eller mobilapp er eksempler på en ekstra faktor ved login.
Et godt password med god længde og høj kompleksitet kan med fordel suppleres med det ekstra lag af sikkerhed som fler-faktor-autentifikation udgør. Herved gøres det endnu vanskeligere for hackere og cyberkriminelle. I første omgang kan fler-faktor-autentifikation indføres på ens kritiske systemer. Dette kan også kombineres med yderligere sikkerhedsforanstaltninger ved login. Det kan eksempelvis være at brugeren eller it-afdelingen orienteres via e-mail eller anden kanal, hvis en bruger logger på fra en ny enhed.
Indførelsen af fler-faktor-autentifikation kan også være anledningen til at vurdere ens samlede sikkerhed og identificere eventuelle svage punkter. Det kan eksempelvis være brug af sms-engangskoder til tjenester, der anvendes på mobiltelefoner, og derfor kan blive kompromitteret på én gang, hvis telefonen mistes eller inficeres med malware. Man bør også holde sig for øje, at SMS som udgangspunkt ikke sendes krypteret.
Derudover er der også muligheden for, at man registrerer fejlslagne loginforsøg samt har en fungerende politik for spærring af adgang ved mistanke om forsøg på misbrug. Denne politik skal tage hensyn til brugerne og systemets følsomhed. Eksempelvis er det ikke nødvendigvis hensigtsmæssigt at lukke for adgang efter tre fejlslagne forsøg. I stedet bør faktorer, der kan indikere en afvigelse fra normalmønstret indgå. Det kunne eksempelvis være et antal fejlslagne loginforsøg over et døgn eller fejlslagne loginforsøg på usædvanlige tider af dagen.