I dag er sterk autentisering et must for å få tilgang til virksomhetskritisk informasjon. Hos Admincontrol har to av tre kunder tatt i bruk dette viktige sikkerhetstiltaket, og vi oppfordrer andre til å følge etter. Husk at styrken i autentiseringsprosessen kan utgjøre forskjellen mellom sikre data og et alvorlig sikkerhetsbrudd.
Bedrifter er i økende grad avhengige av teknologi og nettbaserte tjenester for å lagre og håndtere sensitiv informasjon. Men med den økende mengden datakriminalitet står virksomheter overfor en konstant trussel mot datasikkerheten. Cyberkriminelle utvikler stadig nye og sofistikerte metoder for å skaffe seg uautorisert tilgang til virksomhetssystemer og stjele sensitive data.
Sterk autentisering innebærer bruk av flere faktorer for å verifisere identiteten til en bruker før det gis tilgang til sensitive data. Dette omfatter noe brukeren vet, for eksempel et passord eller en sikkerhetskode, noe brukeren har, for eksempel et sikkerhetstoken eller et smartkort, og noe brukeren er, for eksempel en biometrisk identifikator som et fingeravtrykk eller ansiktsgjenkjenning. Det er dette vi kaller multifaktorautentisering (MFA) eller tofaktorautentisering (2FA).
SMS-basert tofaktorautentisering (SMS 2FA) er en mye brukt metode for å legge til et ekstra sikkerhetslag i autentiseringsprosessen. Med SMS-basert 2FA mottar brukeren en engangskode via en tekstmelding til sitt registrerte mobiltelefonnummer. Brukeren taster deretter inn denne koden som en andre autentiseringsfaktor for å få tilgang til systemet.
Selv om SMS-basert 2FA er bedre enn ingen 2FA i det hele tatt, har det flere ulemper. For det første er SMS-basert 2FA sårbar for SIM-bytteangrep, der en hacker kan ta kontroll over en brukers telefonnummer ved å overbevise telefonselskapet om å overføre nummeret til et nytt SIM-kort. Når hackeren har tatt kontroll over telefonnummeret, kan de motta SMS-baserte 2FA-koder og få uautorisert tilgang til brukerens kontoer.
Autentiseringsapper er mindre utsatt for å bli snappet opp. SMS sendes ukryptert over telefonnettet. Det er et kjent faktum at telefonnettverkene har en rekke sikkerhetssvakheter som en hacker kan utnytte for å snappe opp 2FA-koden. Dette er ikke tilfelle for koder som opprettes av en autentiseringsapp.
En autentiseringsapp, som Google Authenticator eller Microsoft Authenticator, er derimot en mye sikrere form for 2FA. En autentiseringsapp genererer engangskoder som bare er gyldige i kort tid og bare kan brukes én gang. Autentiseringsappen lagrer den hemmelige nøkkelen som brukes til å generere disse kodene på brukerens enhet, noe som gir et ekstra sikkerhetslag.
Autentiseringsapper er heller ikke sårbare for SIM-bytteangrep, ettersom de ikke er avhengige av et telefonnummer for autentisering. Det betyr at selv om en hacker får kontroll over brukerens telefonnummer, vil han eller hun ikke få tilgang til autentiseringsappen.
Sterk autentisering har også blitt et krav for å overholde regelverket. GDPR sier spesifikt at behandlingsansvarlige og databehandlere "skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som står i forhold til risikoen".
En autentiseringsapp er derfor en mye sikrere form for 2FA enn SMS-basert 2FA. Ved å bruke en autentiseringsapp kan virksomheter øke sikkerheten i autentiseringsprosessen og redusere risikoen for uautorisert tilgang til sensitiv informasjon.
Ifølge rapporten fra 2022 om etterforskning av datainnbrudd er phishing og bruk av stjålet legitimasjon de to vanligste metodene som brukes av cyberkriminelle for å få tilgang til systemer. Dermed innebærer det en høy risiko som virksomheter må beskytte seg mot.
I august 2021 uttalte det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) at det å ikke bruke tofaktorautentisering anses som dårlig sikkerhetspraksis. Allerede i 2017 kom EUs byrå for cybersikkerhet (ENISA), som er det europeiske motstykket til CISA, med lignende retningslinjer om samme tema.
I dagens trusselbilde er derfor bruk av sterk autentisering et must for å få tilgang til virksomhetskritisk informasjon.
Ved å bytte til autentiseringsapper for sterk autentisering kan virksomheter redusere risikoen for uautorisert tilgang, beskytte seg mot phishing-angrep og overholde lovpålagte krav.
Vil du vite mer?