Multifaktorautentisering (MFA)

 Vad är multifaktorautentisering?

Multifaktorautentisering beskriver, helt i enlighet med vad namnet antyder, autentisering baserat på flera faktorer. Men vad innebär egentligen autentisering, vilka faktorer kan användas, och varför behövs det till att börja med?

Autentisering

Kontroll och bekräftelse av identitet vid inloggning i datasystem kallas autentisering. Det betyder att en användare måste visa sin behörighet för att komma in i ett system eller användarkonto. Det ännu så länge vanligaste sättet att visa sin behörighet är att ange användarnamn och lösenord. Kombinationen användarnamn och lösenord räknas som en enda autentiseringsfaktor.

Ökad säkerhet med fler autentiseringsfaktorer

Att bara kräva användarnamn och lösenord vid inloggning kan vara en osäker metod, eftersom samma användarnamn och lösenord ibland används som autentisering på flera olika plattformar. Det kan göra det ganska lätt för obehöriga att lista ut inloggningsförfarandet och att ta sig in i systemet. Med fler autentiseringsfaktorer blir det svårare för hackare att ta sig in i ett system.

Autentiseringsfaktorer brukar indelas i tre olika typer:
Något som man har: till exempel bankkort, mobilapp, bankdosa.
Något som man vet: till exempel lösenord
Något som man är: personlig egenskap, till exempel fingeravtryck, ögon-iris

Notera att om auktoriseringen kräver två faktorer ur samma av ovanstående grupper kan detta inte till fullo anses vara två separata faktorer. Att kräva att användaren har två saker eller vet två saker, är inte lika säkert som att denne måste ha en sak och veta en sak.

 Tvåfaktorautentisering (2FA)

Om det krävs två av ovanstående autentiseringsfaktorer för att kunna logga in i ett system kallar man det för tvåfaktorautentisering. Säkerheten ökar markant när man på detta vis tillför en extra autentiseringsfaktor vid inloggningsförfarandet. Det kan till exempel vara kombinationen bankkort och PIN-kod i en bankautomat eller lösenord plus fingeravtryck för att få tillträde till ett system. Att bara använda sig av användarnamn och lösenord vid ett inloggningsförfarande är den lägsta formen av säkerhet i ett system. För ökad säkerhet i organisationer håller tvåfaktorautentisering på att bli en allt vanligare säkerhetsstandard.

Så här kan de olika stegen vid en tvåfaktorsautentisering se ut

  1. Användaren avkrävs en autentiseringsfaktor för att logga in på en webbplats eller ett datorsystem.

  2. Användaren anger sitt användarnamn och lösenord och ger därmed den första auktoriseringsfaktorn.

  3. När systemet har känt igen den behörige användaren uppmanas denne att som en extra säkerhetsåtgärd ta det andra autentiseringssteget i inloggningsprocessen. I detta steg kan användaren avkrävas ett engångslösenord som erhållits via en säkerhetsdosa eller sms. Den extra autentiseringsfaktorn kan exempelvis också vara att skanna en QR-kod i en mobilapp.

  4. När användaren presenterat samtliga begärda autentiseringsfaktorer tillåts användaren åtkomst till systemet

 Multifaktorautentisering (MFA)

I miljöer med höga säkerhetskrav kan det krävas fler än till och med två autentiseringsfaktorer. Redan vid två faktorer (2FA) kan systemet påstås ha MFA, och termerna används därför ofta synonymt, men med MFA kan hänvisas till system av indefinit antal faktorer. Om inloggningen till exempel kräver tre olika autentiseringsfaktorer kan detta kalla trefaktorautentisering (3FA) o.s.v.

Sådana säkerhetskrav kan behövas vid exempelvis topphemliga försvarsanläggningar. Det kan till exempel vid extrema säkerhetskontroller krävas en kombination av passerkort, lösenord, QR-kod, fingeravtryck och röstigenkänning.

 Behörighetskontrollsystem (BKS)

För att uppnå tillfredsställande informationssäkerhet i en organisation måste man ha grundläggande säkerhetsåtgärder när det gäller att styra olika användares behörigheter i de olika systemen. Man måste styra så att endast behöriga användare kommer åt nödvändig information och tillåts göra godkända aktiviteter i den. Några saker att tänka på i detta sammanhang är till exempel:

  • Användares identitet ska identifieras och autentiseras.

  • Åtkomsträttigheter ska regleras.

  • Vilken information ska vara tillgänglig för var och en och vad ska användaren tillåtas göra med informationen?

  • Rutiner måste skapas för behörighetshantering och tilldelning eller borttagning av behörighet.

  • Användarnas aktiviteter kan ibland behöva loggas, det vill säga registreras och sparas för att digitala aktiviteter ska kunna spåras i efterhand för kontroll. Loggning förutsätter att användarna är informerade om att loggning av aktiviteterna sker.

 Behöver du hjälp med din organisations cybersäkerhet?