Vad är multifaktorautentisering?
Översikt
När du får åtkomst till en skyddad resurs autentiserar du dig mot ett datalager med dina inloggningsuppgifter. Den består av en påstådd identitet och en hemlighet som är kopplad till den. Traditionellt sett har det gjorts med ett enkelt användarnamn och lösenord, vilket är den vanligaste autentiseringsmetoden idag. Tyvärr har det visat sig att autentisering med användarnamn/lösenord är ganska sårbart för nätfiske och hackning av inloggningsuppgifter. Eftersom lösenord kan vara svåra att komma ihåg tenderar människor att välja ett enkelt lösenord och återanvända det i sina olika online- och molntjänster. Det innebär att när en inloggningsuppgift hackas på en tjänst kan illvilliga utomstående testa den på andra personliga och professionella digitala tjänster.
Flerfaktorsautentisering (MFA) är utformad för att skydda mot dessa och andra typer av hot genom att kräva att användaren tillhandahåller två eller flera verifieringsmetoder innan de kan få tillgång till en specifik resurs som en applikation, datalagring eller ett privat nätverk.
Begreppet "faktor" beskriver de olika typer av autentisering eller metoder som används för att verifiera någons påstådda identitet. De olika metoderna är:
- Något du vet - somett lösenord, en memorerad PIN-kod eller utmaningsfrågor
- Något du har -historiskt sett var det en hård token, men nu är det vanligare med en smartphone eller ett säkert USB-minne.
- Något du är - vanligabiometriska metoder är fingeravtryck eller ansiktsigenkänning; mindre vanliga är biometriska metoder som röst- eller annan igenkänningsteknik.
Multi-faktor autentisering
Hur bestämmer du hur många faktorer du ska konfigurera för en skyddad resurs?
Säkerhets- och användbarhetskraven avgör vilken process som används för att bekräfta den begärandes identitetsanspråk. Flerfaktorsautentisering gör det möjligt för säkerhetsteamen att reagera på sammanhanget eller situationen för den som begär det (person eller programmatisk process), där borttagning av åtkomst är det vanligaste scenariot. Förutom att bestämma hur många typer av autentisering som ska krävas måste IT-avdelningen också balansera kostnaden för användbarhetskraven med kostnaden för att implementera dem.
Enfaktorsautentisering (SFA)
SFA har varit och är fortfarande standard för att säkra åtkomst till mobil, online och annan säkrad information och faciliteter. Eftersom det är så vanligt förekommande och billigt är den vanligaste typen av SFA användarnamn och lösenord. Ändå används lösenordslös teknik i allt större utsträckning för att undvika hot från olika phishing-attacker. Till exempel tillåter de flesta mobilbaserade appar att man använder fingeravtryck eller ansiktsigenkänning i stället för det traditionella användarnamnet och lösenordet.
Lösenordslösa alternativ (t.ex. FIDO2 och passkeys) finns för närvarande tillgängliga från alla större plattformsleverantörer, inklusive Microsoft, Apple och Google.
Eftersom de används för att verifiera identiteter måste autentiseringstoken skyddas mot utomstående. Förutom stark token-säkerhet är de ofta konfigurerade att löpa ut ganska ofta, vilket ökar uppdateringsfrekvensen. Även om implementeringen av kortlivade tokens som används under det lösenordsfria gränssnittet höjer säkerheten, når det inte upp till den nivå som erbjuds av tvåfaktorsautentisering.
Moderna lösenordslösa mekanismer som passkeys eller WebAuthn klassificeras vanligtvis inte som enkel SFA - de är starkare former av autentisering som ofta kombinerar flera kryptografiska försäkringar (något du har och ibland något du är). Lösenordsfrihet kan i sig vara en form av stark multifaktorautentisering eller avancerad autentisering när den implementeras på rätt sätt.
Tvåfaktorsautentisering (2FA)
2FA stärker säkerheten genom att kräva att användaren anger en andra typ (know, have, are) för identitetsverifiering. Det ena identitetsbeviset kan vara en fysisk symbol, t.ex. ett ID-kort, och det andra kan vara något som memoreras, t.ex. en utmaning/ett svar, en säkerhetskod eller ett lösenord. En andra faktor höjer ribban avsevärt för illvilliga och andra utomstående aktörer att lyckas ta sig igenom säkerheten.
Här är en lista över populära autentiseringsmetoder:
- Engångslösenord -OTP, HOTP, YubiKey och andra FIDO-kompatibla enheter
- Annatsamtal utanför band, mobil push
- PKI-certifikat
- Biometri - fingeravtryck, ansikte, röstigenkänning
- Proximity-kort, geostängsel i mobilapp
- Vad du vet - lösenord, utmaningsfrågor
Trefaktorsautentisering (3FA)
Denna metod lägger till ytterligare en faktor till tvåfaktorn för ytterligare svårigheter att förfalska en påstådd identitet. Ett typiskt scenario kan vara att lägga till biometri till ett befintligt användarnamn/lösenord och en inloggning med ett proximity-kort. Eftersom det ger en betydande grad av friktion bör det reserveras för situationer som kräver en hög säkerhetsnivå. Banker kan hitta situationer där 3FA är meningsfullt, liksom olika statliga myndigheter. Särskilda högkontrollområden inom en del av en flygplats eller ett sjukhus är också områden där säkerhetsteam har bedömt att 3FA är nödvändigt. 3FA är ovanligt och adaptiv MFA (som utvärderar risken i sammanhanget) är den rådande inriktningen i branschen.Var används MFA vanligtvis?
Även om många organisationer ser användarkontroll som en eftertanke är det viktigt att notera att Verizons årliga DBIR konsekvent visar att hackning av referenser är en toppstrategi för intrång. Det är bara en tidsfråga innan praktiskt taget alla organisationer drabbas av en händelse där de förlorar känslig information som resulterar i en påtaglig ekonomisk förlust och potentiell förlust av kundernas förtroende.
Det som gör dessa trender anmärkningsvärda är att det aldrig har funnits en tid då multifaktorautentisering har varit så bekvämt och prisvärt att implementera som det är idag. Traditionellt har organisationer begränsat sina MFA-implementeringar till en liten undergrupp av specialiserade användare som arbetar med information som utgör en högre risknivå för verksamheten. Kostnad och användbarhet har ofta varit de begränsande faktorerna som hindrat en bredare användning av teknik för stark autentisering. Historiskt sett har metoder för stark autentisering varit dyra att köpa in, driftsätta (inklusive att registrera användarna) och administrera. Men på senare tid har det skett en rad genomgripande förändringar i olika branscher, inom organisationerna själva, deras kunder (eller patienter, medborgare, partners etc.) och den teknik som de har tillgång till.
Vilka är de viktigaste affärsdrivkrafterna för att implementera multifaktorautentisering?
Även om varje organisation har sina egna konkreta krav finns det affärsdrivande faktorer på hög nivå som ofta är gemensamma för alla:
- De flesta branscher måste följa någon typ av sekretesslagstiftning när det gäller kund-, patient- eller finansiell information. Dessutom fortsätter statliga myndigheter att fastställa sina policyer som kräver MFA för verifiering av användarnas identitet.
- Fler än någonsin arbetar utanför kontoret, antingen som vägkrigare eller som distansanställda. De använder MFA som en del av sina riskhanteringsrutiner eller som en del av ett efterlevnadsinitiativ som omfattar information (kund, patient, medborgare, HR etc.) som är föremål för statliga autentiseringsmandat.
- Power-användare och de organisationer de arbetar inom gör det i en genomgripande uppkopplad värld, vilket innebär att när deras referenser bryts är den exponerade sårbarheten för deras arbetsgivare en tvingande kraft för att säkra sina konton med MFA.
- I stort sett alla har en uppkopplad dator (smartphone) i fickan som de använder för att sköta sina liv: sociala medier, konsumentanpassat innehåll och e-handel. Eftersom kunderna förväntar sig att interagera med företag digitalt på sina enheter har organisationer ofta en aggressiv strategi för mobilappar som kräver MFA för att hantera risken.
Vilka mandat kräver att organisationer använder MFA för att uppfylla kraven?
MFA är nu ett grundläggande krav i:
- PCI DSS v4.0 - förall fjärråtkomst till system som hanterar kortinnehavardata.
- HIPAA - för attsäkra elektronisk skyddad hälsoinformation (ePHI).
- NIS2 och DORA - kräverstark åtkomstkontroll i kritiska sektorer.
- Cyberförsäkringar - de flesta kräver MFA för täckning.
Vilka är några sätt att göra MFA mindre påträngande för användarupplevelsen?
IT-avdelningen har tillgång till några tekniker för att minska den friktion som MFA potentiellt kan innebära för användarna:
- Enkel inloggning.
- Riskbedömning av en begäran om tillgång.
- Matchning av den bästa autentiseringstypen till användaren.
Enkel inloggning (SSO)
SSO gör det möjligt för användare att autentisera sig till flera resurser genom en enda interaktion från användaren, vilket innebär att användarna anger en enda autentiseringsuppgift från vilken infrastrukturen under den autentiserar sig till var och en av de skyddade resurserna för deras räkning under den sessionen. Den säkraste metoden för SSO är att autentiseringsmotorn använder en unik uppsättning autentiseringsuppgifter för varje resurs som konfigureras för SSO. Detta bygger upp säkerheten till en hög nivå eftersom:- Användaren känner inte till den faktiska referensen för resursen, utan bara den referens som tillhandahålls till autentiseringsgatewayen. Detta tvingar användaren att använda autentiseringsgatewayen i stället för att gå direkt till resursen. Det innebär också att varje resurs har unika referenser. Så om identitetslagret hos en av dem utsätts för intrång, påverkar det inte de andra. Detta tillvägagångssätt gör det möjligt för IT-avdelningen att uppfylla MFA-kraven och samtidigt utföra seriella autentiseringar till skyddade resurser.
- Genom att utnyttja användarkontexten kan riskbaserad teknik (RBA) användas för att aktivera MFA endast när det behövs. Oavsett om det handlar om att följa en myndighets krav eller genomdriva organisationens riskhanteringspolicy, kan RBA användas för att minska antalet gånger som en användare måste genomgå en autentiseringsförfrågan. Policyer är ofta en blandning av plats, enhet och tid för åtkomst.
Alternativ för autentisering med låg friktion
Även om de traditionella OTP:erna/TOTP:erna kommer att fortsätta att vara den vanligaste typen av andrafaktorsautentisering kan det finnas andra alternativ som är mer meningsfulla i en viss situation. Mobilappar med "out-of-band push" erbjuder ett lågfriktionsalternativ till OTP eftersom allt användaren behöver göra är att trycka på acceptknappen. För situationer med högre risk kan vissa push-appar konfigureras så att de kräver ett fingeravtryck för att verifiera personens identitet, samt en bekräftelse av information (t.ex. ett nummer som visas på skrivbordet) för att ytterligare verifiera att användaren har både skrivbordet och smarttelefonen.Ansiktsigenkänning håller snabbt på att bli den biometriska autentisering som föredras. Windows Hello har låg friktion och blir allt bättre med tiden, vilket ger en bekväm användarupplevelse. Den största utmaningen är att Windows Hello inte fungerar bra i olika ljussituationer. Denna oförmåga att känna igen ansikten i olika ljusförhållanden kan hanteras med hjälp av ytterligare ansiktsregistreringar. På senare tid har vissa mobilappar gjort det möjligt att registrera en persons irismönster i ögonen. När de används tillsammans (ansiktsigenkänning, fingeravtryck, iris) höjer de biometriska autentiseringsalternativen säkerhetsribban så högt att den inte kan övervinnas av en utomstående. Biometriska metoder är också ett utmärkt alternativ för organisationer som vill ha ett lågfriktionsmedel för att skydda sig mot nätfiskeattacker.
Röstigenkänning har blivit populärt inom finanssektorn. Institutioner gillar det eftersom det är helt passivt för kunderna när de talar med en servicerepresentant. Ombudet får ett meddelande när kundens identitet har verifierats. De använder röstigenkänning i stället för utmaningsfrågor med kunder som ofta har svårt att komma ihåg de korrekta svaren på dem. I det här fallet optimeras säkerhet och användbarhet.
FIDO/FIDO2 är attraktiva alternativ för användare som använder flera olika enheter. En del av det som gör FIDO till ett attraktivt autentiseringsalternativ är dess breda leverantörsstöd och dess fokus på användbarhet. FIDO har fått ett betydande genomslag på universitet som hanterar ett stort antal studenter som använder en mängd olika digitala tjänster. FIDO gör det möjligt att porta lösenordsfri autentisering mellan olika enheter och plattformar.
Profilering av smartphone-gester är en form av beteendeanalys som analyserar hur en person fysiskt interagerar med sin enhet. Den använder heuristik för att spåra mönster i gester och producerar förtroendepoäng baserat på hur konsekventa dessa mönster är. I takt med att mer data samlas in blir systemet säkrare på att känna igen användarens unika beteende, vilket ökar gestprofilens noggrannhet - eller trohet. Även om gestprofilering initialt inte är tillräckligt stark för att fungera som en primär metod för identitetsverifiering, kan den vara en användbar kompletterande faktor när den kombineras med andra autentiseringsmetoder.
Hur OpenText hjälper
OpenText™ Advanced Authentication är en del av vår portfölj för identitets- och åtkomsthantering i företagsklass. Det möjliggör flexibel distribution av MFA, inklusive:
- Lösenordslös och biometrisk autentisering.
- Riskbaserade och kontextuella beslut om åtkomst.
- Policytillämpning i hybrid- och multi-cloud-miljöer.
- Integration via API:er, SDK:er och federationsprotokoll (SAML, OAuth, OIDC).
Oavsett om du säkrar interna användare, partners eller konsumenter, OpenText levererar säker, kompatibel och skalbar autentisering i företagsskala.
Hur är OpenText Advanced Authentication annorlunda än andra MFA-lösningar?
Säkerhetsteam implementerar ofta den stödjande programvara som följer med den autentisering de använder. Detta verkar fungera bra tills olika enheter köps in som kräver en annan mjukvaruimplementering, vilket skapar ännu en silo. I stora organisationer är det möjligt att ha flera silos av lösenordslösa tekniker som används för antingen multifaktorautentisering eller för att uppfylla något annat autentiseringskrav. Svagheten med den här situationen är att varje autentiseringssilo har sin egen uppsättning policyer. Att hålla dessa flera policylager uppdaterade kräver högre administrativa kostnader och medför en risk för att policyerna inte är enhetliga.
OpenText Advanced Authentication är utformad för att tillgodose även den största organisationens multifaktorautentiseringsbehov. Det standardbaserade tillvägagångssättet ger en öppen arkitektur som är fri från riskerna med leverantörslåsning. Ramverket stöder en mängd olika enheter och ytterligare standardmetoder, men kan också utökas i takt med att ny teknik kommer ut på marknaden.
Oavsett plattform (webb, mobil, klient) OpenText Advanced Authentication ger också out-of-the-box-stöd för de vanligaste plattformarna och applikationerna. Utöver att fungera som den centrala policymotorn för företagsomfattande autentiseringar, OpenText Advanced Authentication erbjuder också en riskbaserad motor för att kontrollera när MFA åberopas samt kontrollera vilka autentiseringstyper som erbjuds under olika risknivåer. Utöver sin egen inbyggda motor, OpenText Advanced Authentication integreras med OpenText Access Manager för att tillhandahålla en robust uppsättning alternativ för enkel inloggning och riskmätningar som kan användas som en del av ett användningsfall för adaptiv åtkomsthantering.
