MFA
MFA
Lets say you have a setup where your users authenticate with username and password. You also see growing problems with leaked passwords and users being tricked into false logins. So you want to up the game. What to do?
Lad os sige du har et setup hvor dine brugere authentikerer med brugernavn og password. Du ser voksende problemer med lækkede passwords og brugere der bliver snydt af falske logins. Så du vil gerne forbedre setuppet. Hvad kan du gøre?
What about two passwords instead of one? Objectively the security will be better, but pretty much only the way that just requiring a longer password will be. What is worse is, that the extra password has the same issues that the first password has. Adding it is not a good step up.
Hvad med to passwords istedet for ét? Objektivt set vil det være mere sikkert, men kun på samme måde som at kræve længere passwords vil være det. Hvad der er værre er, at der er de samme problemer med det ekstra password som det første har. Det at tilføje det er ikke nogen god forbedring.
To be effective, you need to be careful about what to add. To help with this, and to define a language around it, the concept of authentication factors became a thing.
For at være effektiv, er man nødt til at være omhyggelig med hvad man tilføjer. For at hjælpe med det, og for at skabe et sprog omkring det, opstod begrebet authentikeringsfaktorer.
Authentication factors
Authentikeringsfaktorer
There are three well-established categories of authentication factors.
Der findes tre bredt anerkendte kategorier af authentikeringsfaktorer.
| category | slogan | examples | beware |
|---|---|---|---|
| kategori | slogan | eksempler | pas på |
 Knowledge |
Something you know. | Password, your-favorite-color-questions... | Well-known problems. It can be leaked, it can be reused, it can be guessed. |
Viden |
Noget du ved. | Password, din-yndlingsfarve-spørgsmål... | Velkendte problemer. Det kan lækkes, det kan blive genbrugt, det kan gættes. |
 Ownership |
Something you own. | Security token, ID card, OTP list... | A physical thing, that most users loathe bringing along. Some of these can be copied or reverse engineered. |
Besiddelse |
Noget du har. | Sikkerhedstoken, ID kort, OTP liste... | En fysisk ting, som de fleste brugere hader at have på sig. Nogle af dem kan kopieres eller reverse engineeres. |
 Inherence |
Something you are. | Fingerprint, face, iris... | Many sensors can be tricked. Not super reliable, so has to have fall-back methods. |
Arvelighed |
Noget du er. | Fingeraftryk, ansigt, iris... | Mange sensorer kan snydes. Ikke super driftssikker, så skal have muligheder at falde tilbage på. |
Some people argue that a fourth category should be used. But this is not universally agreed upon.
Nogle mener at en fjerde kategori kan bruges. Men det er der er ikke bred enighed om.
| category | slogan | examples | beware |
|---|---|---|---|
| kategori | slogan | eksempler | pas på |
 Location |
Somewhere you are. | Office, GPS... | Coarse-grained. Can sometimes be faked. |
Lokation |
Et sted du er. | Kontoret, GPS... | Grov opløsning. Kan nogle gange imiteres. |
The national ID solution in Denmark is called MitID. It has the unusual requirement that users have a "secret" username. What that really means, is not very clear to anyone. Many websites that need you to authenticate with MitID, automatically fills out your secret username anyway. Clearly demonstrating that it is not a meaningful authentication factor.
Den nationale ID løsning i Danmark hedder MitID. Den har det usædvanlige krav at brugerne har et hemmeligt brugernavn. Hvad det egentlig betyder er der ingen der ved helt præcis. Mange websites der har brug for at du logger ind med MitID, udfylder automatisk dit hemmelige brugernavn alligevel. Hvilket klart viser at det ikke er nogen meningsfuld authentikeringsfaktor.
Secret usernames can be okay for a temporary solution in some OT corner case, but for a national ID solution they are a disgrace.
Det er i orden at bruge hemmelige brugernavne hvis det er midlertidigt til et særligt OT system, men til en national ID løsning er de en skændsel.
MitID is going to be replaced by an eIDAS 2.0 compatible solution within a few years.
MitID vil blive erstattet af en eIDAS 2.0 kompatibel løsning om nogle få år.
MFA
MFA
Our example with username and password is using a single factor, which is knowledge. To improve this setup you add another factor, giving MFA (Multi Factor Authentication). If the user fails login with one of the factors, then their MFA login fails.
Vores eksempel med brugernavn og password bruger en enkelt faktor, som er viden. For at forbedre det setup tilføjer man en anden faktor, hvilket giver MFA (Multi Faktor Authentikering). Hvis brugeren fejler login med en af faktorerne, så fejler deres MFA login.
When you choose the second factor you need to follow a rule that says there cannot be more than one factor from a category. So adding another password wont do (it is knowledge again). But adding a security token will (it is ownership).
Når man vælger den anden faktor skal man følge en regel der siger at der ikke må være mere end én faktor fra en kategori. Så at tilføje et andet password duer ikke (det er viden igen). Men at tilføje en sikkerhedstoken gør (den er besiddelse).
Apart from that there are many flavors. The exact details on which factors can be used under which circumstances, varies from organization to organization.
Ud over det er der mange varianter. De præcise detaljer for hvilke faktorer der kan bruges i hvilke sammenhænge, varierer fra organisation til organisation.
The push for MFA
Promoveringen af MFA
These days most online services that require authentication, is pushing users for adopting MFA. I see it at every login to services where I havent set it up.
De fleste online services, som kræver authentikering, skubber kraftigt på for at få brugerne til at sætte MFA op. Jeg ser det ved hvert login til services hvor jeg ikke har sat det op.
With MFA your account will be better protected, and that is a good thing. It sounds like an easy decision, but there is more to it in my opinion.
Med MFA er din brugerkonto bedre beskyttet, og det vil man jo gerne have. Det lyder som en nem beslutning, men der er mere i det end det synes jeg.
First ask yourself what it will mean to be compromised. Will it be a real problem for you? Or will it be a minor nuissance? Second consider what the new factor will be. In some cases it is quite involved, like installing an app. To adopt MFA, the proportionality between risk and second factor, should be reasonable. Furthermore have in mind, that it is not all that unusual for companies to take advantage of your second factor. That could be through sending you unsolicited sales material, or by tracking the GPS coordinates of your phone.
Spørg først dig selv hvad en kompromittering vil betyde. Vil den være et reelt problem? Eller vil den bare være til irritation? For det andet, overvej hvad den nye faktor vil blive. Nogle gange kan den være ret bøvlet, som at installere en app. Sæt kun MFA op hvis proportionaliteten mellem risiko og anden faktor er i orden. Oven i det, så vær opmærksom på at det ikke er usædvanligt at virksomheder udnytter din anden faktor. Det kan være gennem at sende dig uopfordret salgsgas, eller ved at tracke din mobils GPS koordinater.
If you are one of those designing solutions, then do not repress your user perspective. Avoid solutions that require MFA when it is not reasonable. Users will not have much patience for unnecessary authentication. The best and most comprehensive way to get the most out of the authentication that the users actually do, is by having a single authentication solution that is used by all services that the company provides or consumes.
Hvis du er en af dem der designer løsninger, så lad være med at fortrænge dit bruger-perspektiv. Undgå løsninger der kræver MFA når det ikke er rimeligt. Brugerne gider ikke unødvendige authentikeringer. Den bedste og mest gennemførte måde at få mest ud af de authentikeringer brugerne rent faktisk foretager, er ved at have én authentikeringsløsning som bruges af alle de services virksomheden tilbyder eller forbruger.
Stepping up beyond
At tage skridtet videre
MFA used correctly, is a good security design, but it is important to understand that it sits squarely in an authentication paradigm that is likely to be surpassed in the near future. If you really want to up your game, start looking at the new paradigm instead. It is called SSI (Self-Sovereign Identity).
MFA brugt rigtigt, er godt sikkerhedsdesign, men det er vigtigt at forstå at det er grundigt plantet i et authentikerings paradigme som sikkert bliver overgået i nær fremtid. Hvis du virkelig ønsker at gøre det bedre, så begynd at kigge på det nye paradigme istedet. Det kaldes SSI (Self-Sovereign Identity).
Your setup might not be ready for it, the infrastructure might not be ready, but do yourself the favor to familiarize yourself with SSI, so you can take the right steps now, and be ready to hop on the SSI train when the opportunity is there.
Det kan være dit setup ikke er klar til det, eller infrastrukturen ikke er klar, men gør dig den tjeneste at sætte dig ind i SSI, så du kan tage de rigtige valg nu, og være klar til at hoppe på SSI toget når muligheden byder sig.
Related:
Authentication for generations
Relateret:
Authentikering i generationer
