En av de enkleste og billigste formene for IT-sikkerhet er å bruke tofaktorautentisering. Allikevel er det overraskende mange som ikke gjør det. Uten 2FA i virksomheten stiller du deg åpen for enkle dataangrep.
Nasjonal Sikkerhetsmyndighet har erklært at dataangrep er hverdagskost i Norge, men allikevel er det mange virksomheter som ikke tar trusselen fra cyberkriminelle på alvor.
Det bør være en selvfølge at man i vår digitale verden krever at alle ansatte må bruke tofaktor eller 2FA for å få tilgang til systemene de bruker daglig. Slik er det dessverre ikke. Det er fortsatt mange ledere som stikker hodet i sanden og tenker at «de cyberkriminelle jakter på større fisk enn min lille bedrift».
Faktum er at passord er en meget svak beskyttelse. Hvem som helst kan laste ned et script som finner passordet de er ute etter. Ofte trenger det ikke gjøres så komplisert heller, fordi folk gjerne bruker enkle passord som navnet til ektefelle eller kjæledyr. Stikk i strid med alle anbefalinger gjenbrukes også samme passord til innlogging på flere ulike tjenester og systemer.
Tofaktor er kanskje ikke så populært, fordi det oppfattes som en bremsekloss? Eller at man vegrer seg, fordi det oppfattes som et veldig stort og omfattende prosjekt? Sikkerhetskonsulent i Netsecurityt, Øystein Kaldhol, avliver denne myten.
– Et 2FA prosjekt krever at det gis ut god informasjon på forhånd og god veiledning i hvordan man bruker tofaktorløsningen i praksis. Men det er et lite prosjekt sammenlignet med de fleste andre IT-prosjekter. Det krever heller ikke mye å få det opp og stå. En del tror kanskje også at prisen på tofaktor er høy, men det stemmer ikke. Velger man for eksempel Duo Security som vi bruker selv, så betaler man kun en avgift per bruker, sier Kaldhol.
Faktum er at mange av de kjente cyberangrepene kunne vært unngått med tofaktor. Et relativt ferskt eksempel er cyberangrepene på Stortinget i 2020 og 2021. Her kom angripere inn i systemene, fordi man ikke hadde satt opp 2FA for alle ansatte. Enkelte bedrifter og virksomheter velger å kun sette opp tofaktor på enkelte systemer og apper, men det anbefales ikke. Tofaktor bør brukes av alle ansatte på absolutt alt av applikasjoner og tjenester.
I Netsecurity bruker vi betegnelsene 2-faktor/2FA og MFA, når vi refererer til tofaktorautentisering og flerfaktor eller multifaktorautentisering. Det er noen forskjeller mellom 2-faktor og MFA. 2FA er en praksis hvor du legger til et ekstra sikkerhetsnivå i tillegg til brukernavn og passord. Du må vise fram flere bevis på at du er deg.
– De to faktorene er vanligvis noe du vet og noe du har. Det blir også stadig mer vanlig at et av sikkerhetsnivåene består av fingeravtrykk eller ansiktsgjenkjenning. Da er vi over i MFA som dekker løsninger med to eller flere faktorer. 2FA er altså MFA, men MFA er ikke nødvendigvis 2FA, forklarer Kaldhol.
En tredje faktor i en MFA-løsning kan også være at innloggingen til applikasjonen må skje fra en godkjent, sikret enhet. Det vil si for eksempel en bærbar PC som er satt opp og godkjent av IT-avdelingen. Andre faktorer kan være lokasjon og biometri.
Les også: Hvis du tror du har passordene dine for deg selv, tar du feil
Brute Force Attacks er en velkjent metode til å bryte seg inn på andres enheter. Dette går ut på at angriperen prøver å gjette seg til riktig passord ved å prøve igjen og igjen. For å øke sjansen for treff brukes informasjon som ordlister, adresselister og opplysninger fra sosiale medier. Et slikt angrep går automatisk i form av et script, helt til det treffer riktig bokstav, tegn og tallkombinasjon i passordet ditt. Tofaktorautentisering beskytter deg mot slike dataangrep.
Phishing eller nettfisking er en annen velkjent metode. Hva er phishing? Et typisk eksempel er at du får en e-post som ber deg oppgi brukernavn og passord. Disse har de fleste av oss sett mange ganger, man får ofte en e-post fra «Posten», «Microsoft» eller «Facebook». E-posten kan se legitim ut med riktig font og logo, men det er en dataangriper som har satt opp en kopiside og får tilgang til informasjonen din. Tofaktor bidrar til å beskytte deg mot dette, og du bør aktivere det på alle steder som har mulighet. Selv om de mest avanserte angriperne til en viss grad greier å omgå tofaktor, er det fortsatt uendelig mye bedre enn rene brukernavn og passord.
Meddler in the middle angrep og tilsvarende har vært en økende trend siden midten av 2022. Et slikt phishing-angrep består i at angriperen i stedet for å lage en kopi av siden, introduserer en reverse-proxy. Dette betyr at offeret lures til å sende trafikken sin via angriperens systemer, som så videresender det til den ekte siden.
– Offeret blir altså presentert for den faktiske, ekte påloggingssiden til Microsoft 365/Facebook/Posten, men via en mellommann. Dette gjør at det er svært vanskelig for offeret å oppdage angrepet, og når brukeren logger seg inn, så får brukeren faktisk tilgang til den forventede tjenesten, for eksempel Office 365, forklarer sikkerhetsingeniør i Netsecurity, Øystein Kaldhol.
Han legger til:
– Problemet er at all trafikken sendes via angriperens proxy, som så kan dekode og lese alt som sendes frem og tilbake, inkludert den såkalt autentiserings-cookien. Denne cookien kan så brukes til å opprette egne separate forbindelser for angriper til Microsoft 365, og alle andre sider som benytter Microsoft 365 som Single Sign On-løsning.
Les mer om Meddler in the middle her!
For å komme slike angrep til livs må man i tillegg til 2FA innføre en protokoll som heter FIDO2/Webauthn. FIDO2 innfører en metode der mottager sjekker at avsender faktisk er riktig, og forhindrer dermed dette angrepet. FIDO2 protokollen sørger altså for at brukeren kan være sikker på at den som spør etter brukernavn og passord faktisk er den han utgir seg for å være.
Les også: Duo Security – tofaktorautentisering som er både sikker og brukervennlig!
I praksis betyr dette enda et sikkerhetslag i form av hardware tokens/FIDO2 nøkler. Dette kan være fysiske nøkler av typen Yubikey eller Titankey, eventuelt innebygd i datamaskinen eller mobilenheten. Både Apple og Microsoft har innebygd FIDO2-maskinvare gjennom henholdsvis Apple TouchID/FaceID og Microsoft Hello. Fordelen for brukerne er at FIDO2 protokollen legger opp til at man kan kutte ut brukernavn og passord.
Nasjonal Sikkerhetsmyndighet NSM mener at tofaktorautentisering er viktigere enn noensinne.
Alle virksomheter må innføre 2FA. Du bør velge en tofaktorløsning som har Zero Trust som utgangspunkt. Det vil si at man i utgangspunktet ikke stoler på noen og at man gir tilganger etter behov. MFA eller sterkere autentisering er nøkkelen for å klare og oppnå Zero Trust.
Les også: Derfor er e-post hackernes beste venn og din verste fiende!
Det er estimert at IT- sikkerhetsmarkedet globalt vil øke med 88% innen 2026. Tofaktorautentisering er en av de enkleste og billigste måtene du kan beskytte deg og din virksomhet på. Ikke sitt på gjerdet lenger, men ta aktive grep nå.
Vil du vite mer om hvordan vi kan hjelpe deg med tofaktorautentisering? Ta kontakt her!
