MFA
Lad os sige du har et setup hvor dine brugere authentikerer med brugernavn og password. Du ser voksende problemer med lækkede passwords og brugere der bliver snydt af falske logins. Så du vil gerne forbedre setuppet. Hvad kan du gøre?
Hvad med to passwords istedet for ét? Objektivt set vil det være mere sikkert, men kun på samme måde som at kræve længere passwords vil være det. Hvad der er værre er, at der er de samme problemer med det ekstra password som det første har. Det at tilføje det er ikke nogen god forbedring.
For at være effektiv, er man nødt til at være omhyggelig med hvad man tilføjer. For at hjælpe med det, og for at skabe et sprog omkring det, opstod begrebet authentikeringsfaktorer.
Authentikeringsfaktorer
Der findes tre bredt anerkendte kategorier af authentikeringsfaktorer.
| kategori | slogan | eksempler | pas på |
|---|---|---|---|
 Viden |
Noget du ved. | Password, din-yndlingsfarve-spørgsmål... | Velkendte problemer. Det kan lækkes, det kan blive genbrugt, det kan gættes. |
 Besiddelse |
Noget du har. | Sikkerhedstoken, ID kort, OTP liste... | En fysisk ting, som de fleste brugere hader at have på sig. Nogle af dem kan kopieres eller reverse engineeres. |
 Arvelighed |
Noget du er. | Fingeraftryk, ansigt, iris... | Mange sensorer kan snydes. Ikke super driftssikker, så skal have muligheder at falde tilbage på. |
Nogle mener at en fjerde kategori kan bruges. Men det er der er ikke bred enighed om.
| kategori | slogan | eksempler | pas på |
|---|---|---|---|
 Lokation |
Et sted du er. | Kontoret, GPS... | Grov opløsning. Kan nogle gange imiteres. |
Den nationale ID løsning i Danmark hedder MitID. Den har det usædvanlige krav at brugerne har et hemmeligt brugernavn. Hvad det egentlig betyder er der ingen der ved helt præcis. Mange websites der har brug for at du logger ind med MitID, udfylder automatisk dit hemmelige brugernavn alligevel. Hvilket klart viser at det ikke er nogen meningsfuld authentikeringsfaktor.
Det er i orden at bruge hemmelige brugernavne hvis det er midlertidigt til et særligt OT system, men til en national ID løsning er de en skændsel.
MitID bliver erstattet af en eIDAS 2.0 kompatibel løsning indenfor få år.
MFA
Vores eksempel med brugernavn og password bruger en enkelt faktor, som er viden. For at forbedre det setup tilføjer man en anden faktor, hvilket giver MFA (Multi Faktor Authentikering). Hvis brugeren fejler login med en af faktorerne, så fejler deres MFA login.
Når man vælger den anden faktor skal man følge en regel der siger at der ikke må være mere end én faktor fra en kategori. Så at tilføje et andet password duer ikke (det er viden igen). Men at tilføje en sikkerhedstoken gør (den er besiddelse).
Ud over det er der mange varianter. De præcise detaljer for hvilke faktorer der kan bruges i hvilke sammenhænge, varierer fra organisation til organisation.
Promoveringen af MFA
De fleste online services, som kræver authentikering, skubber kraftigt på for at få brugerne til at sætte MFA op. Jeg ser det ved hvert login til services hvor jeg ikke har sat det op.
Med MFA er din brugerkonto bedre beskyttet, og det vil man jo gerne have. Det lyder som en nem beslutning, men der er mere i det end det synes jeg.
Spørg først dig selv hvad en kompromittering vil betyde. Vil den være et reelt problem? Eller vil den bare være til irritation? For det andet, overvej hvad den nye faktor vil blive. Nogle gange kan den være ret bøvlet, som at installere en app. Sæt kun MFA op hvis proportionaliteten mellem risiko og anden faktor er i orden. Oven i det, så vær opmærksom på at det ikke er usædvanligt at virksomheder udnytter din anden faktor. Det kan være gennem at sende dig uopfordret salgsgas, eller ved at tracke din mobils GPS koordinater.
Hvis du er en af dem der designer løsninger, så lad være med at fortrænge dit bruger-perspektiv. Undgå løsninger der kræver MFA når det ikke er rimeligt. Brugerne gider ikke unødvendige authentikeringer. Den bedste og mest gennemførte måde at få mest ud af de authentikeringer brugerne rent faktisk foretager, er ved at have én authentikeringsløsning som bruges af alle de services virksomheden tilbyder eller forbruger.
At tage skridtet videre
MFA brugt rigtigt, er godt sikkerhedsdesign, men det er vigtigt at forstå at det er grundigt plantet i et authentikerings paradigme som sikkert bliver overgået i nær fremtid. Hvis du virkelig ønsker at gøre det bedre, så begynd at kigge på det nye paradigme istedet. Det kaldes SSI (Self-Sovereign Identity).
Det kan være dit setup ikke er klar til det, eller infrastrukturen ikke er klar, men gør dig den tjeneste at sætte dig ind i SSI, så du kan tage de rigtige valg nu, og være klar til at hoppe på SSI toget når muligheden byder sig.
Relateret:
Authentikering i generationer
