Multi-faktor godkendelse (MFA)

Hvad er MFA, og hvad er ikke MFA

I denne tid, hvor vi oftere og oftere, betjener os selv via offentlige digitale systemer, handler mere online og i det hele taget opbevarer vores personlige informationer på nettet, bliver det stadig vigtigere, at vi gør, hvad vi kan for at beskytte vores identitet som privatperson. Og lige så vigtigt er det, at både virksomheder og offentlige instanser gør alt, hvad de kan for at hjælpe os med at sikre, at uvedkommende og kriminelle ikke kan bruge vores identitet. I denne artikel giver Globeteams konsulent Bjarne B. Dollerup dig en forklaring på, hvad MFA er, og hvorfor det er vigtigt at benytte en “stærk” MFA.

Det seneste og hidtil bedste bud på at gøre dette hedder Multi-Faktor Autentifikation (MFA) eller blot multi-faktor godkendelse. Betegnelsen to-faktor godkendelse (2FA) bruges ofte.

MFA er beregnet som en yderligere sikring af vores identitet, når vi tilgår online systemer og kan bedst beskrives som: ”Nogen du er, kombineret med noget du ved, kombineret med noget du har”.

Ideen er altså, at du logger ind med et brugernavn (nogen du er), bruger dit kodeord (noget du ved) og bruger en yderligere faktor til at bekræfte, hvem du er (noget du har). Det sidste kunne for eksempel være din personlige telefon.

Nu hvor vi har slået fast, hvad MFA er, så lad os tale om, hvilken slags MFA, der er bedst. Ikke alle MFA-muligheder er nemlig lige ”stærke”. Lad os starte med at gennemgå de forskellige MFA-muligheder og derefter rangordne dem for afslutningsvis at komme med anbefalinger og bedste praksis.

Forskellige typer af MFA ”noget vi har”:

• Kort: Vi kan passende starte med en MFA-mulighed, som langt de fleste danskere kender, nemlig papkortet til NemID. Kortet ”bekræfter” den id og det kodeord, vi anvender til at logge ind til en service, der anvender NemID.
• Smarttelefon godkendelsesapplikationer: I samme moment bør vi nævne godkendelsesapplikationer på smarttelefoner (NemID app ’en, samt godkendelsesapplikationer fra blandt andet Google og Microsoft). Disse fungerer som en digital version af NemID papkortet. Disse applikationer kan bruge en kode, som brugeren skal indtaste i et vindue eller i en browser, eller de kan bruges uden kode, hvor brugen bekræfter et login ved at bruge biometri (f.eks. et fingeraftryk) eller telefon login pin.
• Digitale nøgler: Disse findes i mange forskellige varianter og bruger USB, Bluetooth og/eller NFC til at integrere med godkendelsesapplikationer på både PC’er og mobile enheder eller genererer en unik kode, som brugeren skal indtaste i et vindue eller i en browser.
• PC og browser baserede godkendelsesapplikationer: Her er der tale om godkendelsesapplikationer, som installeres på brugerens PC, enten direkte eller som tilføjelsesprogram til brugerens browser (Edge, Firefox og eller Chrome). Disse applikationer præsenterer typiske en kode, som brugeren skal indtaste i et vindue eller i en browser.
• SMS: SMS kan også bruges. Konceptet er, at MFA-servicen sender en kode i en SMS til brugerens telefon, som denne så taster ind et vindue som for eksempel præsenteres i browseren.
• E-mail: Mange MFA-systemer kan også sættes op til at bruge en sekundær e-mailadresse. Dette fungerer ved, at MFA-servicen sender en kode i en e-mail til brugerens telefon, som denne så taster ind et vindue som for eksempel præsenteres i browseren.
• Telefonopkald: Dette fungerer ved, at brugeren bliver ringet op på et forud aftalt telefonnummer – typisk af en robot – og derefter kan brugeren bekræfte sit login ved at indtaste ”#” på sin telefon.
• Biometrisk godkendelse: Dette fungerer ved, at brugeren f.eks. bekræfter sit login med fingeraftryk skanner eller ansigtsgenkendelse. Dette kræver naturligvis, at brugerens mobile enhed og/eller PC understøtter en biometrisk loginmetode (f.eks. fingeraftryk skanner og/eller kamera, der understøtter ansigtsgenkendelse).

Rangordning af MFA’er

De forskellige MFA-muligheder giver organisationen mulighed for at ramme forskellige brugerscenarier, men de er ikke alle lige ”stærke”, og valget af implementering kan også reducere ”styrken”. I det følgende vil vi rangordne de muligheder, vi tidligere har opremset efter ”styrke”, dvs. den bedste først.

1. Digitale nøgler: Disse er, som nævnt ovenfor, små USB-nøgler som brugeren bærer fysisk på sig. De er særdeles svære at ”knække”, og det gør dem til en af de bedste MFA-løsninger.
2. Smarttelefon godkendelsesapplikationer: Denne type rangerer vi på samme niveau som de digitale nøgler. Godkendelsesapplikationer kan fungere sammen med en digital nøgle eller selvstændigt. Godkendelsesapplikationer er måske en anelse mindre bekvemme at bruge, da de kræver, at brugeren tager sin smarttelefon frem, logger ind og enten finder en kode eller accepterer et login via pin kode eller biometri.
3. Biometrisk godkendelse: Biometri er relativt nyt og dermed ikke tilgængelig på alle PC’er og/eller mobile enheder. Der er også en debat om, hvor sikkert f.eks. login via ansigtsgenkendelse er, og om det kan ”omgås” ved hjælp af foto og lignende. Det er dog et område i udvikling, og derfor bliver brugsscenarierne flere og flere og løsningerne bedre og bedre.
4. PC og browser baserede godkendelsesapplikationer: Disse fungerer som smarttelefon godkendelsesapplikationer, men ofte implementeres de på den samme PC, som brugeren skal anvende til at tilgå de applikationer, som MFA skal sikre. Det betyder at skulle brugerens adgangskonto og/eller kode være blevet stjålet, og tyven har fysisk adgang til PC’en, er der ikke længere en ”anden” faktor, der kan sikre brugerens ID og adgang til applikationen. Dette betyder, at der ikke er tale om to-faktor, men i bedste fald ½ faktor.
5. E-mail: E-mail bliver ofte sendt ukrypteret og er dermed nemmere at ”knække”. Det kræver naturligvis, at den e-mail konto, brugeren har angivet i MFA-servicen, også er kompromitteret.
6. Telefonopkald: Dette kræver ”blot” fysisk adgang til den telefon eller det telefonnummer, brugeren har angivet.
7. SMS: SMS bliver, på samme måde som e-mails, sendt ukrypteret over en usikker forbindelse. Enhver, med adgang til det netværk, SMS’en bliver sendt over, kan ”fange” SMS’en, og det er alt for nemt at snyde brugeren.

Vores anbefaling til MFA-valg

Hvis det er lykkedes dig at læse hertil, fortjener du naturligvis også en konklusion. Den allervigtigste konklusion er, at brugernavn/kodeord ikke er nok – og det er uanset, om det drejer sig om dine egen iCloud, Google, Microsoft konto eller en applikation, du bruger på arbejdet. Der sjuskes desværre generelt med ”styrken” på kodeordet, og det er dermed ofte for nemt at gennemskue. Det er naturligvis fordi, vi mennesker har svært ved at huske et kodeord med 32 karakterer, som er en kombination af store og små bogstaver, tal og specialtegn. Prøv for eksempel af huske ”91047*j2yIiDrk^LUWOi0%g4Jdj@U@n6” og så efterfølgende indtaste det uden at kunne se, hvad du indtaster…

Løsningen er et nogenlunde kompliceret kodeord kombineret med en eller flere faktorer. Som vi har nævnt ovenfor, er ikke alle faktorer lige “stærke” og implementeringen (kommer din anden faktor fra en anden enhed end den, du arbejder på) er også afgørende for, hvor god sikkerheden omkring dit login er.

Hvis du har brug for rådgivning og yderlig information, står Globeteams konsulenter gerne til rådighed.