Stark autentisering är idag ett måste för att få tillgång till affärskritisk information. På Admincontrol har två av tre kunder infört denna viktiga säkerhetsåtgärd, och vi uppmanar andra att följa efter. Kom ihåg att styrkan i din autentiseringsprocess kan vara skillnaden mellan säkra data och ett allvarligt intrång.
Företag förlitar sig i allt högre grad på teknik och onlinetjänster för att lagra och hantera sin känsliga information. Men med den ökade mängden cyberbrottslighet står företagen inför ett ständigt hot mot sin datasäkerhet. Cyberbrottslingar utvecklar ständigt nya och sofistikerade metoder för att få obehörig åtkomst till affärssystem och stjäla känsliga uppgifter. Därför är stark autentisering ett måste för att kontrollera åtkomsten till affärskritisk information. På Admincontrol har två av tre kunder infört denna viktiga säkerhetsåtgärd, och vi uppmanar andra att följa efter. Kom ihåg att styrkan i din autentiseringsprocess kan vara skillnaden mellan säkra data och ett allvarligt intrång.
Stark autentisering innebär att flera faktorer används för att verifiera en användares identitet innan åtkomst till känsliga data beviljas. Detta inkluderar något som användaren vet, t.ex. ett lösenord eller en säkerhetskod, något som användaren har, t.ex. en säkerhetstoken eller ett smartkort, och något som användaren är, t.ex. en biometrisk identifierare som ett fingeravtryck eller ansiktsigenkänning. Detta är vad vi kallar multifaktorautentisering (MFA) eller tvåfaktorautentisering (2FA).
SMS-baserad tvåfaktorsautentisering (SMS 2FA) är en vanlig metod för att lägga till ett extra lager av säkerhet i autentiseringsprocessen. Med SMS-baserad 2FA får användaren en engångskod via ett textmeddelande till sitt registrerade mobiltelefonnummer. Användaren anger sedan denna kod som en andra autentiseringsfaktor för att få tillgång till systemet.
SMS-baserad 2FA är visserligen bättre än ingen 2FA alls, men den har flera nackdelar. För det första är SMS-baserad 2FA sårbar för SIM-bytesattacker, där en hackare kan ta kontroll över en användares telefonnummer genom att övertyga telefonbolaget om att överföra numret till ett nytt SIM-kort. När hackern har tagit kontroll över telefonnumret kan de ta emot SMS-baserade 2FA-koder och få obehörig åtkomst till användarens konton.
Autentiseringsappar är mindre känsliga för att fångas upp. SMS skickas okrypterat över telefonnätet. Det är ett känt faktum att telefonnäten har ett antal säkerhetsbrister som en hackare kan utnyttja för att avlyssna 2FA-koden. Detta är inte fallet för koder som skapats av en autentiseringsapp.
Däremot är en autentiseringsapp, till exempel Google authenticator eller Microsoft authenticator, en mycket säkrare form av 2FA. En autentiseringsapp genererar engångskoder som bara är giltiga under en kort tid och som bara kan användas en gång. Autentiseringsappen lagrar den hemliga nyckel som används för att generera dessa koder på användarens enhet, vilket ger ett extra säkerhetslager.
Autentiseringsappar är inte heller sårbara för SIM-bytesattacker eftersom de inte förlitar sig på ett telefonnummer för autentisering. Det innebär att även om en hackare får kontroll över användarens telefonnummer kommer de inte att kunna komma åt autentiseringsappen.
Stark autentisering har också blivit ett efterlevnadskrav. I GDPR anges specifikt att personuppgiftsansvariga och personuppgiftsbiträden "ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till risken".
En authenticator-app är därför en mycket säkrare form av 2FA än SMS-baserad 2FA. Genom att använda en authenticator-app kan företag avsevärt öka säkerheten i sin autentiseringsprocess och minska risken för obehörig åtkomst till känslig information.
Stark autentisering har också blivit ett efterlevnadskrav. I GDPR anges specifikt att personuppgiftsansvariga och personuppgiftsbiträden "ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till risken".
Nätfiske och användning av stulna inloggningsuppgifter är de två vanligaste metoderna som används av cyberbrottslingar för att få tillgång till system, enligt 2022 års rapport om dataintrång. Det innebär alltså en hög risk som företag måste skydda sig mot.
I augusti 2021 meddelade den amerikanska myndigheten för cybersäkerhet och infrastruktur (CISA) att det anses vara dålig säkerhetspraxis att inte använda tvåfaktorsautentisering. Redan 2017 gav Europeiska unionens byrå för cybersäkerhet (ENISA), som är den europeiska motsvarigheten till CISA, liknande vägledning i samma ämne.
I den rådande hotbilden är det därför ett måste att använda stark autentisering för att få tillgång till affärskritisk information.
Genom att byta till autentiseringsappar för stark autentisering kan företag kraftigt minska risken för obehörig åtkomst, skydda sig mot nätfiskeattacker och uppfylla de lagstadgade kraven.
Vill du veta mer?