Hvad er tofaktorgodkendelse eller 2FA?

Lad ikke sikkerhed være tilfældigt – udvid din organisations sikkerhed med tofaktorgodkendelse.

En person, der bruger deres telefon til at gennemføre 2FA

Hvad er tofaktorgodkendelse eller 2FA?

Du kan ikke være for forsigtig, når det gælder din organisations online sikkerhed. Mængden og sofistikeringsgraden af cybersikkerhedstrusler er i stærk stigning, og Malwarebytes rapporterer, at angreb på virksomheder steg med 13 % i 2019. Som et resultat ser mange virksomheder kritisk på deres nuværende praksis med hensyn til infosikkerhed. Der opbevares en betydelig mængde personlige, økonomiske og fortrolige oplysninger på din virksomheds online-konti, og databrud resulterer ofte i indtægtstab. For de fleste organisationer er der ét nemt trin, der kan hjælpe med at forbedre dine medarbejderes cybersikkerhedsdisciplin over hele linjen: tofaktorgodkendelse eller 2FA.

Tofaktorgodkendelse forklaret

Hvad er tofaktorgodkendelse? Godkendelse er processen med at verificere en brugers identitet for at etablere adgang til et computersystem eller online-konto. Der er tre hovedfaktorer til godkendelse: en vidensfaktor (noget du ved, f.eks. en adgangskode eller en PIN-kode), en besiddelsesfaktor (noget du har, f.eks. en mobilenhed eller et ID-kort) og en egenfaktor (noget du er, f.eks. et fingeraftryk eller din stemme). Der er også "lokalitetsfaktorer" og "tidsfaktorer", men disse er meget mindre almindelige. Tofaktorgodkendelse betyder simpelthen, at dit sikkerhedssystem bruger to af disse faktorer.

Med andre ord er tofaktorgodkendelse endnu et sikkerhedslag udover din adgangskode eller PIN-kode. Hvis du – efter at have logget ind med din adgangskode – nogensinde er blevet bedt om at indtaste en numerisk kode, der er sendt til dig på din mobile enhed for at bevise din identitet, er du allerede bekendt med 2FA. At få en kode via tekst er imidlertid ikke den eneste metode til tofaktorgodkendelse. Der er en bred vifte af muligheder, herunder godkenderapps, push-meddelelser, softwaretokener, stemmebaseret godkendelse osv. I de fleste tilfælde er det ekstra sikkerhedslag sandsynligvis en SMS-kode.

Hvad er en godkenderapp?

Du er sandsynligvis bekendt med de fleste typer tofaktorgodkendelse, såsom sms'er, stemmebaserede meddelelser og push-meddelelser, men du er muligvis mindre bekendt med godkenderapps. Faktisk er de relativt enkle. Så hvad er en godkenderapp? Kort fortalt er det en app på din mobiltelefon, der genererer digitale bekræftelseskoder, som kan bruges til at bekræfte din identitet, når du logger ind på et websted eller en applikation. Der er mange forskellige godkenderapps at vælge imellem, bla. Google Authenticator-app, Duo Mobile og Authenticator – som alle følger omtrent den samme procedure.

Godkenderapps anses generelt for at være en lidt mere sikker form for 2FA end at modtage en adgangskode til SMS-beskeder. Det skyldes, at SMS'er teknisk set ikke er noget, du har, men noget du får tilsendt. Som sådan er der en lille chance for, at hackere kan narre din operatør til at portere dit mobiltelefonnummer til en anden enhed (en form for svindel kendt som "SIM-swap"). Forudsat at de allerede har din adgangskode, vil dette gøre det muligt for en hacker at få adgang til din konto. I kontrast udløber verifikationskoderne for godkenderapps meget hurtigt (normalt efter 20 eller 30 sekunder), og koden forbliver i appen.

Hvordan fungerer 2FA? Når du har konfigureret tofaktorgodkendelse på dit system – uanset om du bruger en godkenderapp, push-meddelelser eller SMS'er – er det relativt nemt at bruge. Her er en trinvis vejledning til selve 2FA-processen:

  1. Brugeren bliver bedt om at logge ind af hjemmesiden eller applikationen.
  2. Brugeren indtaster deres brugernavn og adgangskode, hvilket opfylder den første sikkerhedsfaktor.
  3. Når webstedet genkender brugeren, bliver denne bedt om at starte det næste trin i loginprocessen. Nu skal brugeren bevise, at de har noget som et ID-kort eller en smartphone, der opfylder den næste sikkerhedsfaktor, dvs. ”besiddelse”. I de fleste tilfælde får brugerne tilsendt en engangssikkerhedskode, som de kan bruge til at bekræfte deres identitet.
  4. Endelig indtaster brugeren sikkerhedsnøglen, og når webstedet har godkendt den, får de adgang.

Hvorfor bruge tofaktorgodkendelse?

Når det gælder onlinesikkerhed er den mest almindelige godkendelsesfaktor⁠ kombinationen af brugernavn/adgangskode. Dette betyder, at de fleste systemer kun bruger ettrinsgodkendelse. Selvom adgangskoder har været standard til infosikkerhedsstandard i årtier, er der flere grunde til, at det endelig kan være på tide at gå helt væk fra adgangskoder. Først og fremmest er adgangskoder relativt nemme at svindle med. Mennesker har typisk dårlig hukommelse, og i mange tilfælde er de adgangskoder, vi vælger, komisk nemme at gætte: "adgangskode", "12345", "qwerty" osv.

Det er også vigtigt at huske, at folk har flere online-konti, end de havde, da adgangskoder først blev introduceret, hvilket betyder, at der ofte bare er for mange adgangskoder at huske. Dette kan føre til "adgangskodegenbrug", hvilket er når den samme adgangskode bruges til flere konti, hvilket gør det nemmere for hackere at få adgang. Når der tages højde for stigningen i cyberkriminalitet og databrud – såsom datatyveriet hos Yahoo i 2013, hvor 3 milliarder konti blev hacket – er det nemt at se, hvorfor adgangskoder muligvis ikke længere er den mest sikre form for beskyttelse.

I stedet for komplet 2FA bruger nogle websteder et sikkerhedsspørgsmål som en slags anden faktor. For eksempel kan du blive bedt om at besvare et spørgsmål som "Hvad er din mors pigenavn?" eller "Hvad hed din barndoms kæledyr?" Der er dog også en bred vifte af svagheder forbundet med denne praksis. Med en sådan overflod af personlige oplysninger tilgængelige på nettet er hackere ofte i stand til at gætte svarene på disse relativt grundlæggende spørgsmål. Desuden er det vigtigt at bemærke, at denne praksis ikke er "ægte" 2FA, da sikkerhedsspørgsmål simpelthen er en anden vidensfaktor. Du sikkerhedskopierer simpelthen en adgangskode med en anden adgangskode. På sådan vis er det meget tættere på totrinsbekræftelse (2SV), en form for godkendelse, der ikke kræver forskellige faktorer, bare flere trin.

Konklusion: Adgangskoder er den laveste form for sikkerhed, hvorfor tofaktorgodkendelse i stigende grad bliver den grundlæggende sikkerhedsstandard for virksomheder.

Mere end tofaktorgodkendelse

Som du kan se, er fordelene forbundet med 2FA betydelige. Men tofaktorgodkendelse er ikke den endelige destination for infosikkerhed. Langt fra. Tofaktorgodkendelse er trods alt ikke idiotsikret. Hvis en hacker ønsker at få adgang til dine computersystemer, kan en fysisk søgning i dine lokaler resultere i fund af et medarbejder-id eller en kasseret lagerenhed, der indeholder adgangskoder. Desuden kan hackere opfange tekstbeskeder via phishing-e-mails, hvilket muligvis giver dem mulighed for at omgå den anden godkendelsesfaktor. I sidste ende er 2FA kun så stærk som det svageste element i sikkerhedsprocessen.

Så hvad kan man ellers gøre? 2FA er simpelthen en delmængde af et meget større koncept: multifaktorgodkendelse (MFA). I teorien kan du have trefaktorgodkendelse, firefaktorgodkendelse, femfaktorgodkendelse og så videre i det uendelige. Mens almindelige brugere sandsynligvis aldrig kommer til at bruge noget ud over tofaktorgodkendelse, kan folk, der arbejder i miljøer med høj sikkerhed, være forpligtet til at bruge noget som trefaktorgodkendelse (3FA), som typisk involverer brugen af en egenfaktor, såsom et fingeraftryk eller en iris-scanning.

Sikring af dine filer med tofaktorgodkendelse

Vigtigheden af at sikre din virksomheds filer og indhold kan ikke overvurderes. Globale cyberkriminalitetsskader anslås at nå op på 6 billioner USD årligt i 2021. Omkostningerne forbundet med cyberkriminalitet inkluderer ødelæggelse/misbrug af data, stjålne penge, forstyrrelser efter angreb, tyveri af intellektuel ejendom og mistet produktivitet. Men du der er også potentielle udgifter forbundet med gendannelse af hackede data/systemer, retsmedicinsk undersøgelse og omdømmeskader. Da trusler bliver mere og mere sofistikerede, og resten af verden implementerer tofaktorgodkendelse som standard, risikerer virksomheder, der ikke gør dette, at de er sårbare over for destruktive hackere. Det er ligesom ikke at bruge sikkerhedssele, fordi bilen har airbags. Teknisk set er du beskyttet, men ikke helt så beskyttet som du kunne være.

Sådan får du 2FA med Dropbox

Det er klart, at aktivering af tofaktorgodkendelse kan have store fordele for din virksomhed, men processen med at udrulle 2FA i hele din virksomhed kan være lidt skræmmende. Heldigvis behøver det ikke at være alt for stor en udfordring. Dropbox tilbyder tofaktorgodkendelse. Hvis du aktiverer 2FA, vil Dropbox kræve, at du og dit team leverer en anden form for godkendelse (f.eks. en sekscifret adgangskode eller sikkerhedsnøgle), hver gang du logger ind på din konto eller tilknytter en ny tablet, computer eller telefon. Derudover tilbyder Dropbox en række funktioner til adgangskodebeskyttelse, der kan hjælpe dig med at sikre og kontrollere din virksomheds følsomme oplysninger, mens du også kan angive udløbsdatoer for delte links og adgangskodebeskyttelse af dine PDF-filer og mapper.

Der er andre cybersikkerhedsforanstaltninger, som du kan implementere med Dropbox for at hjælpe med at beskytte dine filer endnu mere effektivt. Dropbox's cloud-sikkerhed er et ideelt supplement til tofaktorgodkendelse.  Kort sagt er beskyttelse af data i skyen Dropbox's topprioritet. Med flere beskyttelseslag i en distribueret skyinfrastruktur kan du sikre, at alle dine online-filer har samme beskyttelsesniveau. Derudover kan Dropbox's krypterede cloudlager i virksomhedsklasse bruges til at overholde de fleste globale lovgivningsmæssige standarder.

Et sidste ord

Tofaktorgodkendelse giver et ekstra lag af sikkerhed til din virksomheds onlinefiler, der holder dine følsomme data beskyttet mod potentielle cybertrusler.