Et brukernavn (eller en e-postadresse) og et passord kan være nok til å holde konti og sensitive personopplysninger relativt trygge, men i de senere år har det i økende grad blitt klart at man i mange tilfeller trenger tyngre skyts. Hackere kan få tilgang til brukerkontoer på mange forskjellige måter, og informasjonen vår er ikke like trygg som vi kanskje skulle ønske.
Tofaktor-autentisering (som ikke må sammenblandes med verifisering som kun har to eller flere steg) er en av de minst kompliserte og mest effektive strategiene når man skal forbedre kontosikkerheten.
Selv om tofaktor-autentisering (2FA) har blitt mer og mer populært i de senere år er det langt fra allestedsnærværende. I denne artikkelen viser vi deg hvordan tofaktor-autentisering fungerer, og hvorfor det er en ypperlig måte å beskytte seg på.
Hvordan fungerer tofaktor-autentisering?
Som navnet avslører så handler tofaktor-autentisering om introduksjonen av et sikkerhetslag nummer to, i tillegg til innloggingsprosessen. Brukernavn/e-postadresse og passord regnes sammen som én faktor. Dette fordi brukernavn og e-postadresser ofte er åpent tilgjengelige for andre, så passordet er i praksis det eneste som beskytter kontoen.
Ideen bak tofaktor-autentisering er at det er langt vanskeligere å klare å knekke to faktorer enn kun én. Eksempelvis er det slik at bankkortet ditt fungerer som én enkelt faktor når man tar ut penger fra en minibank. Spør man i tillegg om en separat PIN, så minsker man risikoen for feilaktige uttak betraktelig – selv om noen skulle klare å stjele kortet ditt så må de samtidig klare å få tilgang til PIN-koden for å få tilgang til pengene assosiert med kortet.
En av grunnene til at tofaktor-autentisering fungerer så godt er at faktorene ikke kan bli kompromittert på samme måte. Det ville ikke vært så nyttig om minibanken også spurte om du kunne sette inn førerkortet sammen med bankkortet, gitt at du lagrer begge deler i lommeboka.
Tofaktor-autentisering defineres altså som en kombinasjon av to av tre elementer: Noe fysisk du har (for eksempel et kort eller en smarttelefon), noe du vet (for eksempel en PIN-kode eller et passord) og noe du er (for eksempel fingeravtrykket ditt eller ansiktet ditt). Passord er normalt sett den første faktoren som brukes om man skal logge seg inn på en konto på nett, så andrefaktoren blir dermed noe brukeren har eller noe de er.
Med det i mente kan vi si at tofaktor-autentisering ofte avhenger av at en enhet nummer to kan autentisere tilgang til en enhet nummer én. Hvis man for eksempel logger inn på en konto på en datamaskin, så kan det være at plattformen du bruker sender deg en tekstmelding for å verifisere påloggingsforsøket. Skal lugubre typer klare å logge seg inn må de både finne ut hva passordet ditt er, men samtidig også stjele telefonen din.
Hvor effektivt er tofaktor-autentisering?
Selv om tofaktor-autentisering er en av de beste måtene å sikre den digitale informasjonen man besitter, så kan det aldri gi deg hundre prosent sikkerhet. Det er en del måter en angriper kan omgå tofaktor-autentisering for å få tilgang til sensitiv data.
Noen brukere har for eksempel blitt utsatt for såkalte phishing-forsøk, der angripere har simulert nettstedet de har prøvd å besøke (for eksempel med nettadresser som ligner originalen.) En av de mest vanlige phishing-metodene er å sende en falsk melding om at noen har klart å hacke seg inn på maskinen din, slik at får panikk og blir mindre kritisk når det gjelder potensielle svindlere.
En annet velkjent angrepsmetode er å sende målets informasjon til en legitim side, slik at denne kan lage informasjonskapsler som gir tilgang til kontoen på angriperens egen enhet. Kombinasjonen av Muraena og NecroBrowser, to populære phishing-verktøy, gjør at denne strategien er tilgjengelig for nær sagt alle.
Tofaktor-autentisering kan også være utsatt i tilfeller der brukeren ikke har tilgang til den andre faktoren. Tradisjonelle kontogjenopprettingssystemer gir en simpelthen nye passord, eller en lenke til en side der man kan lage nytt passord, men denne praksis gjør også at man åpner seg for angrep som kan omgå tofaktor-autentisering.
Når det er sagt, så er det selvsagt ikke slik at tofaktor-autentisering er ubrukelig eller ikke verdt å implementere innad i for eksempel bedriften din. Poenget er at det er viktig å merke seg at 2FA i seg selv ikke er idiotsikkert – det bør sees på som ett enkelt aspekt i en bredere tilnærming til sikkerhet i bedriften.
Hvordan kan jeg begynne å bruke 2FA?
Tofaktor-autentisering er nå tilgjengelig på en rekke nettsider, i en rekke apper og i andre tjenester. Selv om det finnes et par store tilbydere av standardløsninger, som Duo og Authy, så er det ofte slik at forskjellige plattformer har sine egne 2FA-løsninger.
Facebook, Twitter og LinkedIn er blant de meste populære sidene på nett som gjør det enkelt for brukere å implementere tofaktor-autentisering for brukere. 2FA er enda mer populært innen bedrifter.
Mange bedriftstjenester tilbyr nå tofaktor-autentisering, og en del av disse gjør det også mulig for administratorer å kreve at alle kontoer må bruke 2FA. Dette er bare noen av plattformene som per nå tilbyr støtte for tofaktor-autentisering:
- Slack
- Microsoft
- Apple
- Dropbox
Duo og Google Authenticator er to enkelt tilgjengelige valgmuligheter for bedrifter som ønsker å begynne å bruke 2FA. Begge applikasjonene er laget med tanke på bruk av en rekke forskjellige tjenester. Duo støtter også såkalt single sign-on (én felles innlogging som gir deg tilgang til flere tjenester/systemer) og gjør det mulig for administratorer å ha finkornet kontroll over tilgangen alle de ulike brukerne i organisasjonen har.
Konklusjon
Tofaktor-autentisering spiller en kritisk rolle innen sikkerhet for bedrifter, skoler og andre organisasjoner, og det er ikke vanskelig å forstå hvorfor det er såpass populært som det er. Setter man opp en 2FA-løsning blir det langt vanskeligere for angripere å få tilgang til sensitiv informasjon via usikrede brukerkontoer, uten at man krever at brukerne må skaffe seg ekstra maskinvare av noe slag.
Selv om bedrifter ikke burde anse tofaktor-autentisering som en komplett løsning, så er det likevel en av de enkleste måtene å gjøre en kjapp forbedring av sikkerheten. Phishing og andre trusler er en større trussel enn noen gang før, og 2FA vil gi deg langt bedre beskyttelse mot angrepene.
