Vad är tvåfaktorsautentisering eller 2FA?

Vad är tvåfaktorsautentisering eller 2FA?

När det gäller en organisations onlinesäkerhet kan man inte vara nog försiktig. Cybersäkerhetshotens antal och raffinemang ökar snabbt, och Malwarebytes rapporterar att antalet attacker mot företag ökade med 13 % under 2019. Därför går många företag igenom sina befintliga informationssäkerhetsrutiner noggrant. När allt kommer omkring finns en betydande mängd personlig, ekonomisk och konfidentiell information samlad bland företagets onlinekonton, och dataintrång kan ofta leda till förlorad intäkt. För de flesta organisationer finns det ett enkelt steg som kan förbättra personalens cybersäkerhetsdisciplin på ett övergripande plan: tvåfaktorsautentisering eller 2FA.

Så fungerar tvåfaktorsautentisering

Vad är tvåfaktorsautentisering? Autentisering avser processen att verifiera en användares identitet för att skapa åtkomst till ett datorsystem eller online-konto. Det finns tre huvudsakliga ”faktorer” för autentisering: en kunskapsfaktor (något du vet, till exempel ett lösenord eller en PIN-kod), en besittningsfaktor (något du har, till exempel en mobil enhet eller ett ID-kort) och en inneboende faktor (något du är, till exempel ett fingeravtryck eller din röst). Det finns också ”platsfaktorer” och ”tidsfaktorer”, men dessa är mycket mindre vanliga. Tvåfaktorautentisering betyder helt enkelt att ditt säkerhetssystem använder två av dessa faktorer.

Tvåfaktorautentisering är med andra ord ett andra säkerhetsskikt utöver ditt lösenord eller din PIN-kod. Om du – efter att ha loggat in med ditt lösenord – någonsin ombetts ange en numerisk kod som skickats till dig på din mobila enhet för att bevisa din identitet har du redan erfarenhet av 2FA. En kod via SMS är dock inte den enda metoden för tvåfaktorautentisering. Det finns många olika alternativ, inklusive autentiseringsappar, push-aviseringar, programvarutokens, röstbaserad autentisering med mera. I de flesta fall kommer det extra säkerhetslagret dock förmodligen att vara en SMS-kod.

Vad är en autentiseringsapp?

Även om du troligen känner till de flesta olika typerna av tvåfaktorautentisering, till exempel SMS, röstbaserade meddelanden och push-meddelanden kanske du inte har lika stor erfarenhet av autentiseringsappar. Faktum är att de är relativt enkla. Så vad är en autentiseringsapp? I grund och botten är det en app på din mobiltelefon som genererar digitala verifieringskoder som kan användas för att verifiera din identitet när du loggar in på en webbplats eller applikation. Det finns många olika autentiseringsappar att välja mellan, som till exempel Google Authenticator, Duo Mobile och Authenticator som alla följer ungefär samma procedur.

Autentiseringsappar anses generellt sett vara en något säkrare form av 2FA än SMS-lösenord. Det beror på att SMS-meddelanden tekniskt sett inte är något du har utan något du får skickat till dig. Därför finns det en liten chans att hackare kan lura din operatör att portera ditt mobilnummer till en annan enhet (en typ av bedrägeri som kallas ”SIM-byte”). Förutsatt att de redan har ditt lösenord skulle detta göra det möjligt för en angripare att få tillgång till ditt konto. Autentiseringsapparnas verifieringskoder upphör däremot mycket snabbt (vanligtvis efter 20 eller 30 sekunder) och koden lämnar aldrig appen.

Hur fungerar 2FA? När du har konfigurerat tvåfaktorautentisering för ditt system – vare sig du valt en autentiseringsapp, push-meddelanden eller SMS-meddelanden – är det relativt enkelt att använda. Här är en stegvis guide till själva 2FA-processen:

1. Användaren uppmanas att logga in av webbplatsen eller applikationen.
   
2. Användaren anger sitt användarnamn och lösenord och tillhandahåller den första säkerhetsfaktorn.
   
3. När webbplatsen känt igen användaren uppmanas hen att starta det andra steget i inloggningsprocessen. I detta skede måste användaren bevisa att de har något, som ett ID-kort eller en smartphone som uppfyller den andra säkerhetsfaktorn, det vill säga ”innehav”. I de flesta fall kommer användaren att få ett engångslösenord som används för att bekräfta identiteten.
   
4. Slutligen anger användaren säkerhetsnyckeln och efter att webbplatsen har autentiserat den ges åtkomst.

Varför använda tvåfaktorsautentisering?

När det gäller onlinesäkerhet är den vanligaste autentiseringsfaktorn⁠ utan konkurrens kombinationen användarnamn och lösenord. Det betyder att de flesta system endast använder enfaktorautentisering. Även om lösenord har varit standard för informationssäkerhet i årtionden, finns det flera anledningar till varför det slutligen kan vara dags att lämna dem bakom oss helt och hållet. Till att börja med är lösenord relativt enkla att lista ut. Människor tenderar att ha dåliga minnen, och i många fall är lösenorden vi väljer komiskt lätta att gissa: ”lösenord”, ”12345”, ”qwerty” och så vidare.

Det är också viktigt att komma ihåg att människor har fler onlinekonton än vad de gjorde när lösenorden först introducerades, vilket innebär att det ofta helt enkelt finns för många lösenord att komma ihåg. Detta kan leda till ”lösenordsåtervinning”, vilket är när samma lösenord används för flera konton, och detta gör det enklare för hackare att komma in. När man tar hänsyn till växande IT-brottslighet och allt vanligare dataintrång – som Yahoo-intrånget 2013 vid vilket 3 miljarder konton hackades – är det lätt att se varför lösenord kanske inte längre är den säkraste formen av skydd.

I stället för fullfjädrad 2FA använder vissa webbplatser en säkerhetsfråga som en slags andra faktor. Du kan till exempel behöva svara på en fråga som ”Vad hette din mor som ogift?” eller ”Vad hette ert husdjur när du var barn?” Det finns emellertid ett stort antal svagheter förknippade också med denna praxis. Med ett sådant överflöd av personlig information tillgänglig på webben kan hackare ofta gissa svaren på dessa relativt grundläggande frågor. Dessutom är det viktigt att notera att denna praxis inte är ”riktig” 2FA, eftersom säkerhetsfrågor bara är en andra kunskapsfaktor. Du använder i princip ett andra lösenord som extrasäkerhet för det första. I detta avseende påminner det mycket mer om tvåstegsverifiering (2SV), en form av autentisering som inte kräver olika faktorer, bara fler steg.

Slutsatsen: lösenord är den lägsta säkerhetsformen, och därför håller tvåfaktorautentisering i allt högre grad på att bli den ledande säkerhetsstandarden för företag.

Bortom tvåfaktorsautentisering

Som du kan se är fördelarna med 2FA betydande. Men tvåfaktorautentisering är inte det slutliga lösningen inom informationssäkerhet. Långt ifrån. Tvåfaktorsautentisering är ju trots allt inte bombsäker. Om en angripare vill få tillgång till dina datorsystem kan en fysisk genomsökning av era lokaler göra att de hittar en medarbetares legitimation eller en kasserad lagringsenhet som innehåller lösenord. Dessutom kan hackare få tillgång till SMS via nätfiskemejl, vilket kan ge dem möjlighet att kringgå den andra autentiseringsfaktorn. I slutändan är 2FA bara lika starkt som säkerhetsprocessens svagaste länk.

Så vad mer finns där ute? 2FA är bara en del av ett mycket större koncept: multifaktorautentisering (MFA). Teoretiskt sett kan man ha trefaktorautentisering, fyrfaktorautentisering, femfaktorautentisering och så vidare i all oändlighet. Medan vanliga användare sannolikt aldrig kommer att använda något utöver tvåfaktorautentisering kan människor som arbetar i högsäkerhetsmiljöer behöva använda något i stil med trefaktorautentisering (3FA), vilket vanligtvis innebär användning av en inneboende faktor, som ett fingeravtryck eller en irisskanning.

Håll filerna säkra med tvåfaktorsautentisering

Vikten av att skydda företagets filer och innehåll kan inte överskattas. Globala kostnader på grund av IT-brott beräknas årligen fram till 2021 uppgå till cirka 6 biljoner USD. Bland de kostnader som är förknippade IT-brott ingår förstörelse/missbruk av data, stulna pengar, störningar efter attack, stöld av immateriell egendom och förlorad produktivitet. Men man måste också tänka på de potentiella kostnaderna i samband med återställningen av hackade data/system, kriminaltekniska utredningar och ett skadat rykte. Eftersom hoten blir alltmer sofistikerade och resten av världen implementerar tvåfaktorautentisering som standard löper företag som inte gör det större risk att utsättas för brott. Det är som att inte bära säkerhetsbälte eftersom bilen har krockkuddar. Tekniskt sett är du skyddad, men inte alls så skyddad som du kan vara.

Så får du 2FA med Dropbox

Det är uppenbart att tvåfaktorautentisering kan ge avsevärda fördelar till ditt företag, men processen att driftsätta 2FA över hela organisationen kan verka lite skrämmande. Lyckligtvis måste omställningen inte vara så omfattande. Dropbox erbjuder tvåfaktorsautentisering. Om du aktiverar 2FA kommer Dropbox att kräva att du och ditt team tillhandahåller en andra form av autentisering (till exempel ett sexsiffrigt lösenord eller säkerhetsnyckel) när du loggar in på ditt konto eller länkar en ny surfplatta, dator eller telefon. Dessutom erbjuder Dropbox ett antal lösenordsskyddsfunktioner som kan hjälpa dig att skydda och kontrollera ditt företags känsliga information, och du kan också kan ställa in utgångsdatum för delade länkar och lösenordsskydda PDF-filer och mappar.

Det finns andra IT-säkerhetsåtgärder som du kan genomföra med Dropbox för att skydda dina filer ännu mer effektivt. Dropbox-molnsäkerheten är ett perfekt komplement till tvåfaktorautentisering. Enkelt uttryckt är molnskyddet Dropbox högsta prioritet. Med flera skyddslager över en distribuerad molninfrastruktur kan du se till att alla dina onlinefiler har samma skyddsnivå. Dessutom kan Dropbox krypterade företagsklassade molnlagring användas för att efterleva de flesta globala regleringsstandarder.

Avslutande ord

Tvåfaktorautentisering erbjuder ett extra lager av säkerhet för ditt företags onlinefiler, vilket skyddar din känsliga data från potentiella cyberhot.