Vad är multifaktorautentisering?

När du får tillgång till en skyddad resurs autentiserar du dig mot ett datalager med dina inloggningsuppgifter. Den består av en påstådd identitet och en hemlighet som är kopplad till den. Traditionellt har detta gjorts med ett enkelt användarnamn och lösenord, och det är den vanligaste autentiseringsmetoden idag. Tyvärr har det visat sig att autentisering med användarnamn/lösenord är ganska sårbart för nätfiske och hackning av inloggningsuppgifter. Eftersom lösenord kan vara svåra att komma ihåg tenderar människor att välja ett enkelt lösenord och återanvända det i sina olika online- och molntjänster. Det innebär att när en inloggningsuppgift hackas på en tjänst kan illvilliga utomstående testa den på andra personliga och professionella digitala tjänster. 

Flerfaktorsautentisering (MFA) är utformad för att skydda mot dessa och andra typer av hot genom att kräva att användaren tillhandahåller två eller flera verifieringsmetoder innan de kan få tillgång till en specifik resurs som en applikation, datalagring eller ett privat nätverk.

Begreppet "faktor" beskriver de olika typer av autentisering eller metoder som används för att verifiera någons påstådda identitet. De olika metoderna är:

• Något du vet - som ett lösenord, en PIN-kod som du har memorerat eller utmaningsfrågor.
• Något du har - historiskt sett var det en hård token, men idag är det vanligare med en smartphone eller ett säkert USB-minne.
• Något du är - vanliga biometriska kännetecken är fingeravtryck, ansiktsigenkänning; mindre vanliga är biometriska kännetecken som röst eller andra igenkänningstekniker.

Hur bestämmer jag hur många faktorer jag ska konfigurera för en skyddad resurs?

Säkerhets- och användbarhetskraven avgör vilken process som används för att bekräfta den begärandes identitetsanspråk. Flerfaktorsautentisering gör det möjligt för säkerhetsteamen att reagera på sammanhanget eller situationen för den som begär det (person eller programmatisk process), där borttagning av åtkomst är det vanligaste scenariot. Förutom att bestämma hur många typer av autentisering som ska krävas måste IT-avdelningen också balansera kostnaden för användbarhetskraven med kostnaden för att implementera dem.

Single-Factor Authentication (SFA)

SFA har varit och är fortfarande standard för att säkra åtkomst till mobil, online och annan säkrad information och faciliteter. Eftersom det är så vanligt förekommande och billigt är den vanligaste typen av SFA användarnamn och lösenord. Ändå används lösenordslös teknik i allt större utsträckning för att undvika hot från olika phishing-attacker. Till exempel tillåter de flesta mobilbaserade appar att man använder fingeravtryck eller ansiktsigenkänning i stället för det traditionella användarnamnet och lösenordet. 

Idag erbjuder Microsofts och Yahoos onlinetjänster ett lösenordsfritt SFA-alternativ, och andra leverantörer som Apple och Google kommer att erbjuda samma alternativ under det kommande året.

Eftersom de används för att verifiera identiteter måste autentiseringstoken skyddas mot utomstående. Förutom stark token-säkerhet är de ofta konfigurerade att löpa ut ganska ofta, vilket ökar uppdateringsfrekvensen. Även om implementeringen av kortlivade tokens som används under det lösenordsfria gränssnittet höjer säkerheten, når det inte upp till den nivå som erbjuds av tvåfaktorsautentisering.

Tvåfaktorsautentisering (2FA)

2FA stärker säkerheten genom att kräva att användaren anger en andra typ (know, have, are) för identitetsverifiering. Det ena identitetsbeviset kan vara en fysisk symbol, t.ex. ett ID-kort, och det andra kan vara något som memoreras, t.ex. en utmaning/ett svar, en säkerhetskod eller ett lösenord. En andra faktor höjer ribban avsevärt för illvilliga och andra utomstående aktörer att lyckas ta sig igenom säkerheten. 

Här är en lista över populära autentiseringsmetoder: 

• Engångslösenord - TOTP, HOTP, YubiKey och andra FIDO-kompatibla enheter
• Annat utanför bandet - röstsamtal, mobil push
• PKI - certifikat
• Biometri - fingeravtryck, ansikte, röstigenkänning
• Närhet - kort, geostängsel i mobilapp
• Vad du vet - lösenord, utmaningsfrågor
• Sociala referenser

Trefaktorsautentisering (3FA) 

Lägger till ytterligare en faktor till två-faktor för ytterligare svårigheter att förfalska en påstådd identitet. Ett typiskt scenario kan vara att lägga till biometri till ett befintligt användarnamn/lösenord plus en inloggning med ett proximity-kort. Eftersom den tillför en betydande grad av friktion bör den reserveras för situationer som kräver en hög säkerhetsnivå. Banker kan hitta situationer där 3FA är meningsfullt, liksom olika statliga myndigheter. Särskilda högkontrollområden inom en del av en flygplats eller ett sjukhus är också områden där säkerhetsteam har bedömt att 3FA är nödvändigt.

Var används MFA vanligtvis?

Även om många organisationer ser användarkontroll som en eftertanke är det viktigt att notera att Verizons årliga DBIR konsekvent visar att hackning av referenser är en toppstrategi för intrång. Det är bara en tidsfråga innan praktiskt taget alla organisationer drabbas av en händelse där de förlorar känslig information som resulterar i en påtaglig ekonomisk förlust och potentiell förlust av kundernas förtroende.

Det som gör dessa trender anmärkningsvärda är att det aldrig har funnits en tid då multifaktorautentisering har varit så bekvämt och prisvärt att implementera som det är idag. Traditionellt har organisationer begränsat sina MFA-implementeringar till en liten undergrupp av specialiserade användare som arbetar med information som utgör en högre risknivå för verksamheten. Kostnad och användbarhet har ofta varit de begränsande faktorerna som hindrat en bredare användning av teknik för stark autentisering. Historiskt sett har metoder för stark autentisering varit dyra att köpa in, driftsätta (inklusive att registrera användarna) och administrera. Men på senare tid har det skett en rad genomgripande förändringar i olika branscher, inom organisationerna själva, deras kunder (eller patienter, medborgare, partners etc.) och den teknik som de har tillgång till.

Vilka är de viktigaste affärsdrivkrafterna för att implementera multifaktorautentisering?

Även om varje organisation har sina egna konkreta krav finns det affärsdrivande faktorer på hög nivå som ofta är gemensamma för alla: 

• De flesta branscher måste följa någon typ av sekretesslagstiftning när det gäller kund-, patient- eller finansiell information. Dessutom fortsätter statliga myndigheter att fastställa sina policyer som kräver MFA för verifiering av användarnas identitet.
• Distansarbete - allt fler yrkesverksamma arbetar utanför kontoret, antingen som road warriors eller som distansanställda. Oavsett om det är en del av deras riskhanteringsrutiner eller som en del av ett efterlevnadsinitiativ som omfattar information (kund, patient, medborgare, HR etc.) som är föremål för statliga autentiseringsmandat.
• Power-användare och de organisationer de arbetar inom gör det i en genomgripande uppkopplad värld, vilket innebär att när deras referenser bryts är den exponerade sårbarheten för deras arbetsgivare en tvingande kraft för att säkra sina konton med MFA.
• I stort sett alla har en uppkopplad dator (smartphone) i fickan som de använder för att sköta sina liv: sociala medier, konsumentanpassat innehåll och e-handel. Eftersom kunderna förväntar sig att interagera med företag digitalt på sina enheter har organisationer ofta en aggressiv strategi för mobilappar och behöver MFA för att hantera sina risker. 

Vilka mandat kräver att organisationer använder MFA för att uppfylla kraven?

• Federal Financial Institutions Examination Council (FFIEC) utfärdade i oktober 2005 riktlinjer som kräver att bankerna omprövar sina inloggningsprotokoll och anser att enfaktorsautentisering, när den används som enda kontrollmekanism, är otillräcklig för högrisktransaktioner som innebär åtkomst eller förflyttning av medel, och att de ska förbättra autentiseringen baserat på risken med deras tjänster. Utöver mandatet ställs också höga krav på finansinstituten för att de ska vinna kundernas förtroende.
• Gramm-Leach-Bliley Act (GLBA) - Amerikanska finansinstitut måste säkerställa säkerheten och sekretessen för sina kundregister.
• Enligt avsnitt 404 i Sarbanes-Oxley Act (SOX) ska VD och CFO i börsnoterade företag intyga att organisationens interna kontroller är effektiva.
• PCI DSS-krav 8.2 definierar autentiseringskrav som inkluderar MFA för fjärråtkomst till Cardholder Data Environment (CDE).  Den rekommenderar också vilka metoder som bör användas.

Vilka är några sätt att göra MFA mindre påträngande för användarupplevelsen?

IT-avdelningen har tillgång till några tekniker för att minska den friktion som MFA potentiellt kan innebära för användarna:

• Enkel inloggning.
• Riskbedömning av en begäran om tillgång.
• Matcha den bästa autentiseringstypen till användaren.

Enkel inloggning (SSO)

Single sign-on (SSO) gör det möjligt för en användare att autentisera sig till flera resurser genom en enda interaktion från användaren, vilket innebär att användaren anger en enda autentiseringsuppgift från vilken den underliggande infrastrukturen autentiserar sig till var och en av de skyddade resurserna för användarens räkning under den sessionen. Den säkraste metoden för SSO är att autentiseringsmotorn använder en unik uppsättning autentiseringsuppgifter för varje resurs som konfigureras för SSO. Detta bygger upp säkerheten till en hög nivå eftersom:

• Användaren känner inte till den faktiska referensen för resursen, utan bara den referensen som används och som tillhandahålls till autentiseringsgatewayen. Detta tvingar användaren att använda autentiseringsgatewayen i stället för att gå direkt till resursen. Det innebär också att varje resurs har en unik referens, så om identitetslagret för en av dem utsätts för intrång påverkar det inte de andra. Detta tillvägagångssätt gör det möjligt för IT-avdelningen att uppfylla MFA-kraven och samtidigt utföra seriella autentiseringar till skyddade resurser.  
• Genom att utnyttja användarkontexten kan riskbaserad teknik (RBA) användas för att aktivera MFA endast när det behövs. Oavsett om det handlar om att uppfylla ett myndighetskrav eller att genomdriva organisationens riskhanteringspolicy kan RBA användas för att minska antalet gånger som en användare måste verifiera sig. Policyer är ofta en blandning av plats, enhet och tid för åtkomst. 

Alternativ för autentisering med låg friktion

Även om de traditionella OTP:erna/TOTP:erna kommer att fortsätta att vara den vanligaste typen av 2:a-faktorautentisering, kan det finnas andra alternativ som är mer meningsfulla i en viss situation. Mobilappar med "out-of-band push" erbjuder ett lågfriktionsalternativ till OTP eftersom allt användaren behöver göra är att trycka på acceptknappen. För situationer med högre risk har vissa push-appar alternativet Push-mobilappar kan konfigureras för att kräva ett fingeravtryck för att verifiera personens identitet samt en bekräftelse av information, till exempel ett nummer, som presenteras på skrivbordet för att ytterligare verifiera att användaren har både skrivbordet och smarttelefonen.

Ansiktsigenkänning håller snabbt på att bli den biometriska autentisering som föredras. Windows Hello har låg friktion och blir allt bättre med tiden, vilket ger en bekväm användarupplevelse. Den största utmaningen är att Windows Hello inte fungerar bra i olika ljussituationer. Denna oförmåga att känna igen ansikten i olika ljusförhållanden kan hanteras med hjälp av ytterligare ansiktsregistreringar. På senare tid har vissa mobilappar gjort det möjligt att registrera en persons irismönster i ögonen. När de används tillsammans (ansiktsigenkänning, fingeravtryck, iris) höjer de biometriska autentiseringsalternativen säkerhetsribban ganska högt för en utomstående att besegra. Biometriska metoder är också ett utmärkt alternativ för organisationer som vill ha ett lågfriktionsmedel för att skydda sig mot nätfiskeattacker.

Röstigenkänning har blivit populärt inom finanssektorn. Institutioner gillar det eftersom det är helt passivt för kunderna när de talar med en servicerepresentant. Ombudet får ett meddelande när kundens identitet har verifierats. De använder röstigenkänning i stället för utmaningsfrågor med kunder som ofta har svårt att komma ihåg de korrekta svaren på dem. I det här fallet optimeras säkerhet och användbarhet.

FIDO/FIDO2 är attraktiva alternativ för användare som använder flera olika enheter. En del av det som gör FIDO till ett attraktivt autentiseringsalternativ är det breda leverantörsstödet och deras fokus på användbarhet. FIDO har fått ett betydande genomslag på universitet som hanterar ett stort antal studenter som använder en mängd olika digitala tjänster. FIDO gör det möjligt att porta lösenordsfri autentisering mellan olika enheter och plattformar.

Profilering av smartphone-gester är en typ av beteendeanalys som utför heuristik på hur ägaren hanterar och fysiskt interagerar med sin enhet. Utdata är förtroendebetyg baserade på spårningsgesternas mönster. Med tiden blir profileringen allt säkrare och gesttrogenheten ökar. Även om gestprofilering initialt inte är tillräckligt stark för att vara den primära formen av identitetsverifiering, kan det vara en lämplig metod som används tillsammans med andra typer av autentisering.

Hur skiljer sig NetIQ från andra MFA-lösningar?

Säkerhetsteam implementerar ofta den stödjande programvara som medföljde den autentisering som de använder. Detta verkar fungera bra tills olika enheter köps in som kräver en annan mjukvaruimplementering, vilket skapar ännu en silo. I stora organisationer är det fullt möjligt att ha flera silos av lösenordslösa tekniker som används för antingen multifaktorautentisering eller för att uppfylla något annat autentiseringskrav. Svagheten med den här situationen är att varje autentiseringssilo har sin egen uppsättning policyer. Att hålla dessa många policylager uppdaterade kräver mer administration och medför risk för ojämna policyer.

OpenText™ NetIQ™ Advanced Authentication är utformad för att tillgodose även den största organisationens multifaktorautentiseringsbehov. Det standardbaserade tillvägagångssättet ger en öppen arkitektur som är fri från riskerna med leverantörslåsning. Ramverket stöder en mängd olika enheter och ytterligare metoder som standard, men kan också utökas i takt med att ny teknik kommer ut på marknaden.

Oavsett plattform (webb, mobil, klient) ger AA också stöd för de vanligaste plattformarna och applikationerna. AA fungerar inte bara som en central policymotor för företagsövergripande autentisering, utan erbjuder också en riskbaserad motor för att styra när MFA aktiveras och vilka autentiseringstyper som erbjuds vid olika risknivåer. Utöver sin egen inbyggda motor kan AA integreras med NetIQ Access Manager, vilket ger en robust uppsättning alternativ för enkel inloggning och riskmätning som kan användas som en del av en adaptiv åtkomsthantering.