Hur säker är er autentisering?

Säkerhet i MFA

Under Covid-pandemin införde många organisationer autentisering för att öka säkerheten vid inloggning utanför kontoret. Ändå fortsätter cyberattackerna att öka och 74% kan härledas till sårbarheter som uppkommer av distansarbete. I den här artikeln tar vi upp säkerhet i olika typer av MFA och hur hackers kan knäcka tvåfaktorautentisering via sms.

Ett stort säkerhetsproblem idag är att vi loggar in till företagets resurser från alla möjliga olika platser och enheter. Distansarbetet har gjort attackytan så otroligt mycket större än tidigare. Enligt Tenable beror 74% av nyligen skedda attacker på teknik som infördes under Covid.

Många har infört sms-autentisering

Under Covid-pandemin blev organisationer tvungna att snabbt vida åtgärder för att möjliggöra distansarbete med acceptabel säkerhet. Många införde tvåfaktorautentisering via sms eftersom det är både snabbt och enkelt att införa.

Även om sådan tvåfaktorsautentisering höjer säkerheten enormt jämfört med traditionell inloggning med lösenord – så är det inte supersäkert, vilket inte alla känner till.

Skillnaden mellan tvåfaktor- och multifaktorautentisering

Tvåfaktorautentisering betyder att användaren måste verifiera sin identitet på två sätt. Antingen med lösenord och en pinkod som mottages via sms eller med lösenord och en autentiseringsapp.

Multifaktorautentisering kräver ytterligare verifieringssätt. Det vanligaste är att du använder en fysisk nyckel, en hårdvara stor som ett USB-minne, som kan verifiera din identitet på olika sätt. Till exempel kan du lägga nyckeln mot telefonen eller sätta in den i datorn som ett USB, lägga på fingret och verifiera dig med fingeravtryck.

Säkerhet i MFA –Hur säkra är olika metoder?

De flesta är idag medvetna om att traditionell inloggning med hjälp av lösenord ger ett mycket svagt skydd mot intrång. Hackers kan enkelt överlista kombinationer av användarnamn och lösenord.

Graden av säkerhet i MFA (den vardagliga benämningen på både tvåfaktor- och multifaktor) varierar med vald metod. MFA finns nämligen som ett spektrum av olika lösningar.

  • Tvåfaktorautentisering via sms-baserad OTP (one time password) är en av de vanligaste formerna av autentisering. Det vill säga användaren får en engångskod via sms. Enligt Google blockerar sms-baserad autentisering 76% av alla riktade attacker.
  • Multifaktorautentisering med hjälp av extern hårdvarunyckel, som YubiKey, ger ett 100%-igt skydd (Källa: Yubico)

Hur hackers överlistar sms-autentisering

Tvåfaktorautentisering ger alltså ett betydligt bättre skydd än inloggning med lösenord. Men risken för att bli hackad är inte obefintlig. Här är ett exempel på hur en hacker kan överlista sms-verifiering.

Phishingattack

Bilden är lånad från Yubico och förklarar hur en modern phisingattack överlistar sms-verifiering.

  1. Användaren får ett e-mail med en förfrågan att testa uppkopplingen för e-post. Mailet ser ut att komma från företagets IT-support men är ett phishingmail från en hacker.
  2. Mailet uppmanar användaren att klicka på en länk och logga in till sitt e-postkonto. Användaren klickar på länken och hamnar på en falsk inloggningssida som ser ut som den riktiga.
  3. Användaren fyller i sitt användarnamn och lösenord. Hackern fångar upp dessa och fyller i dem på den riktiga inloggningssidan.
  4. Den riktiga webbsidan skickar verifierings-koden till användaren via sms.
  5. Användaren får koden till sin mobiltelefon och fyller i den på den falska inloggningssidan.
  6. Inloggningen på den falska sidan lyckas och användaren är omedveten om att hens inloggningsuppgifter kapats i en attack.
  7. Hackern fångar användarens autentiseringskod, fyller i den på den riktiga inloggningssidan och får tillgång till kontot.
  8. Därefter uppdaterar hackern kontots säkerhetsinställningar för att låsa ute användaren.

Inför multifaktor direkt

YubiKey

När vi hjälper kunder att införa MFA brukar vi rekommendera YubiKey som nyckel för verifiering. Den finns i många varianter, är liten och smidig och användaren kan bära den på sin nyckelknippa.

Alla organisationer bör införa någon form av autentisering vid inloggning. Enligt vår erfarenhet lönar det sig att gå direkt på det säkraste alternativet och införa multifaktorautentisering med hårdvarunyckel.

Numera är tröskeln låg för att införa autentisering. Det är enkelt att ställa in preferenser för verifieringen och användarna vänjer sig snabbt vid att logga in med en hårdvarunyckel.

Det kan till och med göra att användarna upplever verifieringen som enklare än med sms. De behöver inte gå till mobilen för att hämta en kod som ibland blir försenad.

Här kan du läsa mer om hur det går till att införa MFA