Nästan alla har stött på multi-faktors autentisering (förkortat MFA) eller två-faktors autentisering (förkortat 2FA) och har ett hum om vad det innebär. Men varför är det egentligen så viktigt? Och finns det några brister i det?
Om du nu gått hela vägen och fixat bra lösenord, olika till varje sida och du kanske till och med har en lösenordshanterare. Men vad hjälper det om någon skulle få tag på ditt / dina lösenord? Kanske får de tag på lösenordet till lösenordshanteraren eller din mail och kan återställa andra lösenord?
Här kommer identitet in i bilden. Väldigt mycket av diskussionen inom IT-säkerhet de sensaste åren och framåt har handlat om identitet. Hur kan vi säkerställa att den som loggar in verkligen är den som den utger sig för att vara? Svaret fram tills nu har ofta varit, inför fler faktorer som måste höra till personen som äger den äkta identiteten.
Om någon kommer över ditt användarnamn och lösenord, så har de inte din mobiltelefon, de har inte ditt fingeravtryck och de har ej heller din mailadress (så länge det inte är det lösenordet de fått tag på och du inte har två-faktors autentisering där).
Det händer mig minst en gång varje vecka att jag kommer i kontakt med personer som blivit hackade, det är väldigt sällan som det händer på tjänster där två faktors autentiseringen är påslagen, och väldigt vanligt där den inte är det.
Det svenska superexemplet – BankID
Det finns en särskild två-faktors autentisering som vi i Sverige är otroligt vana att använda. Och det är BankID som är en två-faktors autentisering där vi har en nedladdad verifierad profil antingen i våra mobiltelefoner eller i en dator och dessutom har vi ett separat lösenord eller separat pin-kod till denna Identitet. Till banken känns det så självklart för oss att kunna använda något sådant här och att ingen annan kan logga in som oss. Borde det inte vara så överallt?
BankID startades redan 2002 via ett konsortium med flera svenska storbanker. Syftet är att utveckla en generell infrastruktur för e-legitimationer, som ska uppfylla kraven från myndigheter och banker och kunna accepteras av allmänhet och företag. 2003 kan den första BankID-legitimationen utfärdas. 14 april 2010 lanseras bankID i mobilen. Redan då var vi väldigt långt fram men härifrån exploderar det. Över 8 miljoner användare finns idag, vilket är en jättesucce för den svenska IT-säkerheten. Det finns fortfarande stora delar av världen där du inte alls har en lika tydlig digital identitet som i Sverige, men utvecklingen mot det går dock fort även på andra håll.
Jag önskar jag kunde säga att vi var så långt fram i alla delar av IT-säkerheten, men tyvärr inte. Dock på denna del är vi extremt långt fram och det ska vi tacka politiker och våra storbanker för.
Vad finns det för risker och hot med och mot två-faktors autentisering?
Självklart finns det också risker. Det kan såklart vara så att någon annan får tag på din telefon utan skyddskod där du har din google authenticator med koder i och sen kan de logga in som de vill som dig. Systemet är inte felfritt, bara mycket bättre än utan det.
Det finns även fall där någon annan övertalar dig att dela med dig eller öppna via din två-faktors autentisering över telefon. Det ska du nästan aldrig göra, och om du gör det så se till att ha koll på vad du gör. Är det dessutom BankID så läs extremt noga texten i appen som säger vad du just nu godkänner, innan du gör det.
Du kan också tappa bort din MFA och kan inte själva logga in. – Inte heller bra, det går ofta att motverka genom att ha reservkoder sparade som du får när du sätter upp första gången. Spara dessa säkert!
En risk att ha koll på är att två-faktors autentisering via sms inte är lika säkert, då det faktiskt går att antingen få tag på dina sms, porta ditt nummer till en annan leverantör eller ändra nummer som sms:en skickas till. Du får helt enkelt högre säkerhet om du har en enhets-bunden två-faktors autentisering.
Det har också kommit fler och fler väldesignade ”fake-sidor” och verktyg som tar med din kod till den riktiga sidan, som ett exempel du får ett mail med en länk som ser ut som att den kommer från Google drive, du trycker på länken och kommer till en inloggningssida som ser ut som Googles, men det är det inte utan det är en fake:ad sida med samma design. Du försöker logga in, ett program skickar då vidare dina inloggningsuppgifter till en riktig inloggning på Google, den begär två-faktors autentisering och då ber sidan du ser dig om två-faktors autentiseringskoden. Du fyller i den, och sidan vidarebefordrar din kod och kommer in på ditt Google konto. Lösningen: Klicka inte på länken, och om du gör det så säkerställ först att den är riktig. Ring den som skickat och fråga, eller om slå på en tjänst som scannar länkar innan de kommer till din mailbox (På företagssidan har både Microsoft och Google sådana lösningar).
Vad är bra med två-faktors autentisering?
- Fördelar:
- Det bevisar att det troligtvis är rätt person som loggar in.
- Det håller fel personer ute även om de fått tag på delar av din inloggning.
- Nackdelar:
- Lite långsammare att logga in.
- Kan vara mycket arbete om man blir av med det.
Vilken två-faktors autentiseringslösning ska jag använda:
I första hand, den som finns, för att ha två-faktors autentisering är alltid bättre än att inte ha det.
Sedan handlar det om vilken nivå du vill vara på. Jag som arbetar med detta har flera olika. Men för de flesta räcker det med exempelvis Google Authenticator appen.
Det finns för- och nackdelar med de flesta olika lösningarna, men det finns några som sticker ut. Länkar nedan till en artikel från PCworld som är väldigt bra på att beskriva de olika stora lösningarna. I vissa lösenordshanterare kan du bädda in din två-faktors autentisering i den, det är ganska bekvämt. En riktigt högklassig lösning är Yubicos Yubikey som är en svensk hårdvarubaserad två-faktors autentiseringslösning. Där du har med dig en liten usb-sticka som krävs för att kunna se sina koder. Du sätter den i datorn eller ansluter till mobilen med NFC så visas koderna, om du inte har stickan så går de inte att se.
Länkar:
Bra artikel i PCworld om två-faktors autentisering och vilka olika appar som finns att använda.
https://www.pcworld.com/article/3225913/what-is-two-factor-authentication-and-which-2fa-apps-are-best.html
Yubico – svensk hårdvarubaserdad 2fa i världsklass: https://www.yubico.com/sida-for-privatpersoner/?lang=sv
Historien om BankID: https://www.bankid.com/om-oss/om-bankid
Guider om hur man slår på två-faktors authetisering på de vanligaste tjänsterna från Techworld hos IDG: https://techworld.idg.se/2.2524/1.693779/tvafaktorsinloggning