Hva er godkjenning med to faktorer, eller 2FA?
Du kan aldri være for forsiktig når det gjelder nettsikkerhet for organisasjonen. Truslene mot nettsikkerhet får et stadig større omfang og blir mer sofistikerte, og det skjer raskt. Malwarebytes rapporterer at angrep mot bedrifter økte med 13 % i 2019. Derfor kaster mange bedrifter et kritisk blikk på gjeldende praksis for informasjonssikkerhet. Bedriften har tross alt en betydelig mengde personlig, økonomisk og konfidensiell informasjon i nettkontoer, og databrudd fører ofte til inntektstap. For de fleste organisasjoner finnes det et enkelt tiltak som kan bidra til bedre nettsikkerhet for alle ansatte over hele linjen: godkjenning med to faktorer, eller 2FA.
Godkjenning med to faktorer forklart
Hva er godkjenning med to faktorer? Godkjenning er identitetskontroll av en bruker for å gi tilgang til et datasystem eller en nettkonto. Det finnes tre hovedfaktorer for godkjenning: en kunnskapsfaktor (noe du kan, for eksempel passord eller PIN-kode), en eiendomsfaktor (noe du har, for eksempel en mobil enhet eller et ID-kort) og en iboende faktor (noe du er, for eksempel et fingeravtrykk eller stemmen din). Det finnes også stedsfaktorer og tidsfaktorer, men de er ikke så vanlige. Godkjenning med to faktorer innebærer ganske enkelt at sikkerhetssystemet bruker to av disse faktorene.
Med andre ord er godkjenning med to faktorer et ekstra sikkerhetslag i tillegg til passord eller PIN-kode. Etter at du har logget på med passordet ditt, har du noen gang blitt bedt om å oppgi en tallkode som du mottar på den mobile enheten din for å bevise hvem du er? Da vet du allerede hva 2FA er. Men godkjenning med to faktorer kan skje på andre måter enn en SMS-kode. Det finnes mange alternativer, som godkjenner-apper, push-varslinger, programvarepolletter, stemmebasert godkjenning osv. Men i de fleste tilfeller vil det ekstra sikkerhetslaget bestå av en SMS-kode.
Hva er en godkjenner-app?
Det kan være at du kjenner til de fleste typer godkjenning med to faktorer, som tekstmeldinger, stemmebaserte meldinger og push-varslinger, men du kjenner kanskje ikke til godkjenner-apper. De er ganske enkle. Så hva er en godkjenner-app? Kort fortalt er det en mobiltelefonapp som genererer digitale bekreftelseskoder som kan brukes for å bekrefte identiteten din når du logger på et nettsted eller en app. Du kan velge mellom mange ulike godkjenner-apper, som Google Authenticator, Duo Mobile og Authenticator – alle bruker omtrent samme fremgangsmåte.
Godkjenner-apper betraktes generelt som en noe sikrere godkjenning med to faktorer enn en passkode på SMS. Det er fordi en SMS teknisk sett ikke er noe du har, men noe du får tilsendt. Derfor er det en liten risiko for at hackere kan lure operatøren du bruker til å overføre mobilnummeret ditt til en annen enhet (en type svindel som kalles «SIM swap»). Hvis de allerede har passordet ditt, kan angripere da få tilgang til kontoen din. Bekreftelseskodene fra godkjenner-apper utløper derimot veldig raskt (vanligvis etter 20 eller 30 sekunder), og koden forlater ikke appen.
Hvordan fungerer 2FA? Når du har konfigurert godkjenning med to faktorer i systemet – enten du bruker en godkjenner-app, push-varslinger eller tekstmeldinger – er det ganske enkelt å bruke. Her er en trinnvis veiledning til selve 2FA-prosessen:
- Brukeren blir bedt om å logge på et nettsted eller en app.
- Brukeren oppgir brukernavn og passord, som er den første sikkerhetsfaktoren.
- Når nettstedet gjenkjenner brukeren, startes andre trinn i påloggingsprosessen. Nå må brukeren bevise at de har noe, som et ID-kort eller en smarttelefon, som sikkerhetsfaktor nummer to, det vil si «eiendom». I de fleste tilfeller mottar brukeren en engangspasskode for å bekrefte identiteten sin.
- Til slutt legger brukeren inn sikkerhetsnøkkelen, og når nettstedet har godkjent den, får brukeren tilgang.
Hvorfor bruke godkjenning med to faktorer?
Når det gjelder nettsikkerhet, er kombinasjonen brukernavn/passord den aller mest vanlige godkjenningsfaktoren. Det betyr at de fleste systemer kun bruker godkjenning med én faktor. Selv om passord har vært standard for informasjonssikkerhet i flere tiår, er det mange gode grunner til at det er på høy tid å velge noe annet enn passord. Først og fremst er passord ganske enkle å finne ut av. Vi mennesker husker gjerne litt dårlig, og ofte er passordene vi velger komisk enkle å gjette seg frem til: «passord», «12345», «qwerty» og så videre.
Det er også viktig å huske at vi har flere nettkontoer nå enn da passord ble introdusert, noe som betyr at vi ofte har flere passord enn vi klarer å huske. Dette kan føre til gjenbruk av passord, det vil si at samme passord blir brukt for flere kontoer, noe som gjør det enklere for hackere å få tilgang. Når du tar økningen i nettkriminalitet og datainnbrudd i betraktning – som datatyveriet som Yahoo ble utsatt for i 2013, hvor tre milliarder kontoer ble hacket – er det enkelt å forstå hvorfor passord kanskje ikke er den sikreste beskyttelsen lenger.
Noen nettsteder bruker et sikkerhetsspørsmål som en slags faktor to i stedet for en fullstendig 2FA. Du kan for eksempel komme til å måtte svare på et spørsmål som «hva het moren din som ugift?» eller «hva het kjæledyret du hadde som barn?» Men denne praksisen har også mange svakheter. Med en slik overflod av personlige opplysninger tilgjengelig på nett, kan hackere ofte gjette svarene på disse ganske enkle spørsmålene. Det er også viktig å merke seg at denne praksisen ikke er en «reell» 2FA, fordi sikkerhetsspørsmål bare er en ekstra kunnskapsfaktor. Du styrker ganske enkelt et passord med et passord til. Derfor ligner det mye mer på en totrinns verifisering (2SV), en form for godkjenning som ikke krever ulike faktorer, kun flere trinn.
Poenget er at passord er den enkleste formen for sikkerhet, og derfor blir godkjenning med to faktorer i stadig større grad en grunnleggende sikkerhetsstandard for bedrifter.
Å gå lenger enn godkjenning med to faktorer
Som du ser, har 2FA store fordeler. Men godkjenning med to faktorer er ikke det endelige målet for informasjonssikkerhet. Langt ifra. Godkjenning med to faktorer er tross alt ikke idiotsikkert. Hvis en angriper ønsker å få tilgang til datasystemene dine, kan et fysisk søk i lokalene føre til at de finner ID-kortet til en ansatt eller en kassert lagringsenhet som inneholder passord. Hackere kan også snappe opp tekstmeldinger via nettfisking-e-poster, noe som kan gjøre det mulig for dem å omgå den andre av to godkjenningsfaktorer. Til syvende og sist er ikke 2FA sterkere enn det svakeste leddet i sikkerhetsprosessen.
Så hva er alternativene? 2FA er bare en del av et mye større konsept: godkjenning med flere faktorer (MFA). I teorien kan du ha godkjenning med tre, fire, fem eller enda flere faktorer, i det uendelige. Vanlige brukere vil sannsynligvis aldri bruke mer enn godkjenning med to faktorer, men for ansatte i høysikkerhetsmiljøer, kan det være krav til for eksempel godkjenning med tre faktorer (3FA). Det innebærer gjerne bruk av en iboende faktor, som fingeravtrykk eller skanning av regnbuehinnen.
Sikre filene dine med godkjenning med to faktorer
Du kan aldri overvurdere viktigheten av å sikre bedriftens filer og innhold. Anslagsvis når skader forårsaket av global nettkriminalitet rundt seks billioner amerikanske dollar årlig innen 2021. Kostnadene knyttet til nettkriminalitet omfatter ødeleggelse/misbruk av data, pengetyveri, forstyrrelser etter angrepet, tyveri av immaterielle rettigheter og tapt produktivitet. Men du må også tenke på mulige utgifter knyttet til gjenoppretting av data/systemer som er blitt hacket, kriminalteknisk etterforskning og tap av omdømme. Truslene blir stadig mer sofistikerte, og resten av verden innfører godkjenning med to faktorer som standard. Bedrifter som ikke gjør det, risikerer å bli utsatt for rovhackere. Det blir som å la være å bruke sikkerhetsbelte fordi bilen har kollisjonsputer. Teknisk sett er du beskyttet, men på langt nær så godt som du kunne vært.
Hvordan få 2FA med Dropbox
Det er opplagt at aktivering av godkjenning med to faktorer kan ha store fordeler for bedriften, men utrullingen av 2FA for hele bedriften kan virke litt skremmende. Heldigvis trenger ikke utfordringen være så stor. Dropbox tilbyr godkjenning med to faktorer. Hvis du aktiverer 2FA, vil Dropbox be deg og teamet ditt oppgi en ekstra godkjenningsform (som en sekssifret passkode eller en sikkerhetsnøkkel) hver gang dere logger på kontoen eller kobler til et nytt nettbrett, datamaskin eller telefon. I tillegg tilbyr Dropbox flere funksjoner for passordbeskyttelse som kan bidra til å sikre og ha kontroll over bedriftens sensitive opplysninger, og du kan også angi utløpsdatoer for delte koblinger og passordbeskyttelse for PDF-er og mapper.
Det finnes også andre nettsikkerhetstiltak du kan innføre med Dropbox for å sikre filene dine på en enda mer effektiv måte. Dropbox' skysikkerhet kompletterer godkjenning med to faktorer på en ideell måte. For å si det enkelt, er beskyttelse av skydata det Dropbox prioriterer høyest. Flere beskyttelseslag på tvers av en distribuert skyinfrastruktur sikrer at alle filer på nett får samme grad av beskyttelse. I tillegg kan kryptert skylagring i bedriftsklassen fra Dropbox brukes for å overholde de fleste internasjonale regulatoriske standarder.
Avsluttende ord
Godkjenning med to faktorer gir et ekstra sikkerhetslag for filene bedriften har på nett, og sensitive data er beskyttet mot eventuelle trusler på nett.