Vad ?r multifaktorautentisering (MFA) och hur fungerar det?

Tekniska ?mnen

Vad ?r multifaktorautentisering?

Illustration av IT-artiklar med fokus p? en gl?dlampa

?versikt

N?r du f?r ?tkomst till en skyddad resurs autentiserar du dig mot ett datalager med din referensinformation. Den best?r av en p?st?dd identitet och en hemlighet som ?r associerad med den. Traditionellt har detta gjorts med ett enkelt anv?ndarnamn och l?senord, och det ?r den vanligaste autentiseringsmetoden idag. Tyv?rr har det visat sig att autentisering med anv?ndarnamn/l?senord ?r ganska s?rbart f?r n?tfiske och hackning av inloggningsuppgifter. Eftersom l?senord kan vara sv?ra att komma ih?g tenderar m?nniskor att v?lja ett enkelt l?senord och ?teranv?nda det i sina olika online- och molntj?nster. Detta inneb?r att n?r en referens hackas p? en tj?nst testar illvilliga utomst?ende den p? andra personliga och professionella digitala tj?nster.?

Flerfaktorsautentisering (MFA) ?r utformad f?r att skydda mot dessa och andra typer av hot genom att kr?va att anv?ndaren tillhandah?ller tv? eller flera verifieringsmetoder innan de kan f? tillg?ng till en specifik resurs som en applikation, datalagring eller ett privat n?tverk.

Begreppet "faktor" beskriver de olika typer av autentisering eller metoder som anv?nds f?r att verifiera n?gons p?st?dda identitet. De olika metoderna ?r:

N?got du k?nner till - som ett l?senord, en memorerad PIN-kod eller utmaningsfr?gor.
N?got du har - historiskt sett var det en h?rd token, men idag ?r det vanligare med en smartphone eller ett s?kert USB-minne.
N?got du ?r - vanliga biometriska k?nnetecken ?r fingeravtryck, ansiktsigenk?nning; mindre vanliga ?r biometriska k?nnetecken som r?st eller andra igenk?nningstekniker.

Multi-faktor autentisering

Hur best?mmer jag hur m?nga faktorer jag ska konfigurera f?r en skyddad resurs?

S?kerhets- och anv?ndbarhetskrav avg?r vilken process som anv?nds f?r att bekr?fta s?kandens identitetsanspr?k. Flerfaktorsautentisering g?r det m?jligt f?r s?kerhetsteamen att reagera p? sammanhanget eller situationen f?r den som beg?r det (person eller programprocess), d?r borttagning av ?tkomst ?r det vanligaste scenariot. Ut?ver att best?mma hur m?nga typer av autentisering som ska kr?vas m?ste IT ocks? balansera kostnaden f?r anv?ndbarhetskraven med kostnaden f?r att implementera dem.

Single-Factor Authentication (SFA)

SFA har varit och ?r fortfarande standard f?r att s?kra ?tkomst till mobil, online och annan s?krad information och anl?ggningar. Eftersom det ?r s? vanligt f?rekommande och billigt ?r den vanligaste typen av SFA anv?ndarnamn och l?senord. ?nd? anv?nds l?senordsl?s teknik i allt st?rre utstr?ckning f?r att undvika hot fr?n olika n?tfiskeattacker. Till exempel till?ter de flesta mobilbaserade appar anv?ndning av fingeravtryck eller ansiktsigenk?nning i st?llet f?r det traditionella anv?ndarnamnet och l?senordet.?

Idag erbjuder Microsofts och Yahoos onlinetj?nster ett l?senordsfritt SFA-alternativ, och andra leverant?rer som Apple och Google kommer att erbjuda samma alternativ under det kommande ?ret.

Eftersom de anv?nds f?r att verifiera identiteter m?ste autentiseringstokens skyddas mot utomst?ende. F?rutom stark token-s?kerhet konfigureras de ofta s? att de g?r ut ganska ofta, vilket ?kar uppdateringsfrekvensen. ?ven om implementering av kortlivade tokens som anv?nds under det l?senordsl?sa gr?nssnittet h?jer s?kerheten, n?r det inte upp till den niv? som erbjuds av tv?faktorsautentisering.

Tv?faktorsautentisering (2FA)

2FA st?rker s?kerheten genom att kr?va att anv?ndaren tillhandah?ller en andra typ (vet, har, ?r) f?r identitetsverifiering. Det ena identitetsbeviset kan vara en fysisk token, t.ex. ett ID-kort, och det andra kan vara n?got som memoreras, t.ex. en utmaning/ett svar, en s?kerhetskod eller ett l?senord. En andra faktor h?jer ribban avsev?rt f?r illvilliga och andra utomst?ende akt?rer att lyckas bryta sig igenom s?kerheten.?

H?r ?r en lista ?ver popul?ra autentiseringsmetoder:?

Eng?ngsl?senord - TOTP, HOTP, YubiKey och andra FIDO-kompatibla enheter
Annat utanf?r bandet - r?stsamtal, mobil push
PKI - certifikat
Biometri - fingeravtryck, ansikte, r?stigenk?nning
N?rhet - kort, geost?ngsel i mobilapp
Vad du vet - l?senord, utmaningsfr?gor
Sociala referenser

Trefaktorsautentisering (3FA)?

L?gger till ytterligare en faktor till tv?faktorn f?r att g?ra det ?nnu sv?rare att f?rfalska en p?st?dd identitet. Ett typiskt scenario kan vara att l?gga till biometri till ett befintligt anv?ndarnamn/l?senord plus en inloggning med n?rhetskort. Eftersom det tillf?r en betydande grad av friktion b?r det reserveras f?r situationer som kr?ver en h?g s?kerhetsniv?. Banker kan hitta situationer d?r 3FA ?r meningsfullt, liksom olika statliga myndigheter. Specifika h?gkontrollomr?den inom en del av en flygplats eller ett sjukhus ?r ocks? omr?den d?r s?kerhetsteam har ansett att 3FA ?r n?dv?ndigt.

Var anv?nds MFA vanligtvis?

?ven om m?nga organisationer ser anv?ndarverifiering som en eftertanke, ?r det viktigt att notera att Verizons ?rliga DBIR konsekvent visar att hackning av referenser ?r en toppstrategi f?r intr?ng. Det ?r bara en tidsfr?ga innan praktiskt taget alla organisationer drabbas av en h?ndelse d?r de f?rlorar k?nslig information som resulterar i en p?taglig ekonomisk f?rlust och potentiell f?rlust av kundf?rtroende.

Det som g?r dessa trender anm?rkningsv?rda ?r att det aldrig har funnits en tid d? multifaktorautentisering har varit s? bekv?mt och prisv?rt att implementera som det ?r idag. Traditionellt har organisationer begr?nsat sina MFA-implementeringar till en liten undergrupp av specialiserade anv?ndare som arbetar med information som utg?r en h?gre riskniv? f?r verksamheten. Kostnad och anv?ndbarhet har ofta varit de begr?nsande faktorerna som f?rhindrat en bredare anv?ndning av teknik f?r stark autentisering. Historiskt sett har metoder f?r stark autentisering varit dyra att k?pa in, distribuera (inklusive att registrera anv?ndarna) och administrera. Men p? senare tid har det skett en rad genomgripande f?r?ndringar i olika branscher, inom organisationerna sj?lva, deras kunder (eller patienter, medborgare, partners etc.) och den teknik som de har tillg?ng till.

Vilka ?r de viktigaste aff?rsdrivkrafterna f?r att implementera multifaktorautentisering?

?ven om varje organisation har sina egna konkreta krav finns det aff?rsdrivande faktorer p? h?g niv? som ofta ?r gemensamma f?r alla:?

De flesta branscher m?ste f?lja n?gon typ av sekretesslagstiftning som r?r kund-, patient- eller finansiell information. Dessutom forts?tter statliga myndigheter att fastst?lla sina policyer som kr?ver MFA f?r verifiering av anv?ndaridentitet.
Distansarbete - fler ?n n?gonsin utf?r arbete utanf?r kontoret, antingen som v?gkrigare eller som distansanst?llda. Oavsett om det ?r en del av deras riskhanteringsrutiner eller som en del av ett efterlevnadsinitiativ som omfattar information (kund, patient, medborgare, HR etc.) som ?r f?rem?l f?r statliga autentiseringsmandat.
Power-anv?ndare och de organisationer de arbetar inom g?r det i en genomgripande uppkopplad v?rld, vilket inneb?r att n?r deras referenser bryts ?r den exponerade s?rbarheten f?r deras arbetsgivare en tvingande kraft f?r att s?kra sina konton med MFA.
I stort sett alla har en uppkopplad dator (smartphone) i fickan som de anv?nder f?r att sk?ta sina liv: sociala medier, personaliserat inneh?ll och e-handel. Eftersom kunderna f?rv?ntar sig att interagera med f?retag digitalt p? sina enheter, har organisationer ofta en aggressiv strategi f?r mobilappar som kr?ver MFA f?r att hantera sina risker.?

Vilka mandat kr?ver att organisationer anv?nder MFA f?r att uppfylla kraven?

utf?rdade i oktober 2005 riktlinjer som kr?ver att bankerna ompr?var sina inloggningsprotokoll och anser att enfaktorsautentisering, n?r den anv?nds som enda kontrollmekanism, ?r otillr?cklig f?r h?grisktransaktioner som inneb?r tillg?ng till eller f?rflyttning av medel, och att de ska f?rb?ttra autentiseringen baserat p? risken med deras tj?nster. Ut?ver mandatet har finansinstituten ocks? h?ga krav p? sig att vinna sina kunders f?rtroende.
- Amerikanska finansinstitut m?ste s?kerst?lla s?kerheten och sekretessen f?r sina kundregister.
Enligt avsnitt 404 i ska VD och CFO i b?rsnoterade f?retag intyga att organisationens interna kontroller ?r effektiva.
PCI DSS krav 8.2 definierar autentiseringskrav som inkluderar MFA f?r fj?rr?tkomst till Cardholder Data Environment (CDE). Det rekommenderar ocks? vilka metoder som b?r anv?ndas.

Vilka ?r n?gra s?tt att g?ra MFA mindre p?tr?ngande f?r anv?ndarupplevelsen?

IT-avdelningen har tillg?ng till n?gra tekniker f?r att minska den friktion som MFA potentiellt kan inneb?ra f?r anv?ndarna:

Enkel inloggning.
Riskbed?mning av en beg?ran om tillg?ng.
Matcha den b?sta autentiseringstypen till anv?ndaren.

Enkel inloggning (SSO)

Single sign-on (SSO) g?r det m?jligt f?r en anv?ndare att autentisera sig till flera resurser genom en enda interaktion fr?n anv?ndaren, vilket inneb?r att anv?ndaren anger en enda autentiseringsuppgift fr?n vilken den underliggande infrastrukturen autentiserar sig till var och en av de skyddade resurserna f?r anv?ndarens r?kning under den sessionen. Den s?kraste metoden f?r SSO ?r att autentiseringsmotorn anv?nder en unik upps?ttning autentiseringsuppgifter f?r varje resurs som konfigureras f?r SSO. Detta bygger upp s?kerheten till en h?g niv? eftersom:

Anv?ndaren k?nner inte till de faktiska inloggningsuppgifterna f?r resursen, utan bara de inloggningsuppgifter som anv?nds och som tillhandah?lls till autentiseringsgatewayen. Detta tvingar anv?ndaren att anv?nda autentiseringsgatewayen i st?llet f?r att g? direkt till resursen. Det inneb?r ocks? att varje resurs har en unik referens, s? om identitetslagret f?r en av dem uts?tts f?r intr?ng p?verkar det inte de andra. Det h?r tillv?gag?ngss?ttet g?r det m?jligt f?r IT att uppfylla MFA-kraven samtidigt som man utf?r serieautentiseringar till skyddade resurser. ?
Genom att utnyttja anv?ndarkontexten kan riskbaserad (RBA) teknik anv?ndas f?r att endast anv?nda MFA n?r det beh?vs. Oavsett om det handlar om att uppfylla ett myndighetskrav eller genomdriva organisationens policy f?r riskhantering kan RBA anv?ndas f?r att minska antalet tillf?llen d? en anv?ndare m?ste genomg? en autentiseringsf?rfr?gan. Policyer ?r ofta en blandning av plats, enhet och tid f?r ?tkomst.?

Alternativ f?r autentisering med l?g friktion

?ven om de traditionella OTP:erna/TOTP:erna kommer att forts?tta vara den vanligaste typen av 2:a-faktorautentisering kan det finnas andra alternativ som ?r mer meningsfulla i en viss situation. Mobila push-appar utanf?r bandbredden erbjuder ett l?gfriktionsalternativ till OTP eftersom allt anv?ndaren beh?ver g?ra ?r att trycka p? acceptknappen. F?r situationer med h?gre risk har vissa push-appar alternativet Push-mobilappar kan konfigureras s? att de kr?ver ett fingeravtryck f?r att verifiera personens identitet samt en bekr?ftelse av information, till exempel ett nummer, som presenteras p? skrivbordet f?r att ytterligare verifiera att anv?ndaren har b?de skrivbordet och smarttelefonen.

Ansiktsigenk?nning h?ller snabbt p? att bli det biometriska valet f?r autentisering. Windows Hello har l?g friktion och blir b?ttre med tiden, vilket ger en bekv?m anv?ndarupplevelse. Den st?rsta utmaningen ?r att Windows Hello inte fungerar bra i olika ljussituationer. Denna of?rm?ga att k?nna igen ansikten i olika ljusf?rh?llanden kan hanteras med ytterligare ansiktsregistreringar. P? senare tid har vissa mobilappar b?rjat erbjuda m?jligheten att registrera en persons irism?nster i ?gonen. N?r biometriska autentiseringsalternativ anv?nds tillsammans (ansikte, fingeravtryck, iris) h?js s?kerhetsribban ganska h?gt f?r en utomst?ende. Biometriska metoder ?r ocks? ett utm?rkt alternativ f?r organisationer som letar efter ett l?gfrekvent s?tt att skydda sig mot n?tfiskeattacker.

R?stigenk?nning har blivit popul?rt inom sektorn f?r finansiella tj?nster. Institutionerna gillar det eftersom det ?r helt passivt f?r kunderna n?r de talar med en servicerepresentant. Representanten f?r ett meddelande n?r kundens identitet har verifierats. De anv?nder r?stigenk?nning i st?llet f?r utmaningsfr?gor med kunder som ofta har sv?rt att komma ih?g de korrekta svaren p? dem. I det h?r fallet optimeras s?kerheten och anv?ndbarheten.

FIDO/FIDO2 ?r attraktiva alternativ d?r anv?ndarna r?r sig mellan flera enheter. En del av det som g?r FIDO till ett attraktivt autentiseringsalternativ ?r dess breda leverant?rsst?d och deras fokus p? anv?ndbarhet. FIDO har f?tt en anm?rkningsv?rd dragkraft p? universitet som hanterar ett stort antal studenter som anv?nder en m?ngd olika digitala tj?nster. FIDO g?r det m?jligt att porta l?senordsfri autentisering mellan olika enheter och plattformar.

Profilering av smartphone-gester ?r en typ av beteendeanalys som utf?r heuristik om hur ?garen hanterar och fysiskt interagerar med sin enhet. Resultatet ?r f?rtroendebetyg baserade p? sp?rning av gestm?nster. Med tiden ?kar profileringen i f?rtroende och bygger ut gesttroheten. ?ven om gestprofilering inledningsvis inte ?r tillr?ckligt stark f?r att vara den prim?ra formen av identitetsverifiering, kan den fungera som en l?mplig metod som anv?nds tillsammans med andra typer av autentisering.

Hur skiljer sig NetIQ fr?n andra MFA-l?sningar?

S?kerhetsteam implementerar ofta den st?djande programvara som medf?ljde den autentisering som de anv?nder. Detta verkar fungera bra tills olika enheter k?ps in som kr?ver en annan programvaruimplementering, vilket skapar ?nnu en silo. I stora organisationer ?r det fullt m?jligt att ha flera silos av l?senordsl?s teknik som anv?nds f?r antingen multifaktorautentisering eller f?r att uppfylla n?got annat autentiseringskrav. Svagheten med den h?r situationen ?r att varje autentiseringssilo har sin egen upps?ttning policyer. Att h?lla dessa flera policylager uppdaterade kr?ver h?gre administrativa kostnader och medf?r en risk f?r oj?mna policyer.

好色先生TV? NetIQ? Advanced Authentication ?r utformad f?r att tillgodose ?ven den st?rsta organisationens behov av multifaktorautentisering. Det standardbaserade tillv?gag?ngss?ttet ger en ?ppen arkitektur som ?r fri fr?n riskerna med inl?sning av leverant?rer. Ramverket st?der en m?ngd olika enheter och ytterligare metoder direkt, men kan ocks? ut?kas i takt med att ny teknik kommer ut p? marknaden.

Oavsett plattform (webb, mobil, klient) ger AA ocks? st?d f?r de vanligaste plattformarna och applikationerna. Ut?ver att fungera som den centrala policymotorn f?r f?retags?vergripande autentiseringar, erbjuder AA ocks? en riskbaserad motor f?r att styra n?r MFA aktiveras samt vilka autentiseringstyper som erbjuds under olika riskniv?er. Ut?ver sin egen inbyggda motor integreras AA med NetIQ Access Manager som tillhandah?ller en robust upps?ttning alternativ f?r enkel inloggning och riskm?tt som kan anv?ndas som en del av en adaptiv ?tkomsthantering.

Resurser

Vad ?r Privileged Access Management?

NetIQ datablad f?r avancerad autentisering

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

Analytics DatabaseAnalytics Database

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery och utredningareDiscovery och utredningar

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Aviator Search

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstj?nster f?r B2BIntegrationstj?nster f?r B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Aff?rsn?tverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av inneh?llAI-hantering av inneh?ll

Integration av f?retagIntegration av f?retag

Capture och intelligent dokumentbehandlingCapture och intelligent dokumentbehandling

Information ArchivingInformation Archiving

Process AutomationProcess Automation

InformationsstyrningInformationsstyrning

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Applikationss?kerhetApplikationss?kerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Threat Intelligence

Threat Uppt?ckt och svarThreat Uppt?ckt och svar

Cybers?kerhet Aviator

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Functional TestingFunctional Testing

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Web och varum?rkesupplevelserWeb och varum?rkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Contact Center AnalyticsContact Center Analytics

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

N?tverkshanteringN?tverkshantering

IT-drift Aviator

好色先生TV Thrust好色先生TV Thrust

Developer Cloud teknisk dokumentation

Aviator Thrust

PortfolioPortfolio

Dataskydd och s?kerhetskopiering av slutpunkterDataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhetEndpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhetArkivering, eDiscovery och datas?kerhet

Information i ny tappning

Artificiell IntelligenceArtificiell Intelligence

IndustriIndustri

F?retagsapplikationerF?retagsapplikationer

Din resa till framg?ngDin resa till framg?ng

Kundtj?nstKundtj?nst

Tj?nster f?r kundframg?ngTj?nster f?r kundframg?ng

Strategi & r?dgivningStrategi & r?dgivning

Konsulttj?nsterKonsulttj?nster

Tj?nster f?r l?randeTj?nster f?r l?rande

Managed ServicesManaged Services

Hitta en partner p? 好色先生TVHitta en partner p? 好色先生TV

Hitta en partnerl?sningHitta en partnerl?sning

V?xa som partnerV?xa som partner

Bli en partner

Tillg?ngsbibliotekTillg?ngsbibliotek

Bloggar

H?ndelserH?ndelser

Samh?llen

Kundber?ttelserKundber?ttelser

好色先生TV Navigator好色先生TV Navigator

Utvalda

Analytics Cloud

Analytics Database

Business Intelligence och rapportering

Data Discovery

eDiscovery och utredningar

Legal Content and Knowledge Management

Business Network Cloud

Integration av leveranskedjan

Integrationstj?nster f?r B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av inneh?ll

Integration av f?retag

Capture och intelligent dokumentbehandling

Information Archiving

Process Automation

Informationsstyrning

Cybersecurity Cloud

Applikationss?kerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Threat Uppt?ckt och svar

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Functional Testing

Prestandateknik

Experience Cloud

Web och varum?rkesupplevelser

Meddelanden

Kundresa och data

Media Management

Contact Center Analytics

IT Operations Cloud

Service Management

FinOps

AIOps och observerbarhet

Automatisering

N?tverkshantering

好色先生TV Thrust

Portfolio

Dataskydd och s?kerhetskopiering av slutpunkter

Endpoint-hantering och mobil s?kerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datas?kerhet

Artificiell Intelligence

Industri

F?retagsapplikationer

Din resa till framg?ng

Kundtj?nst

Tj?nster f?r kundframg?ng

Strategi & r?dgivning

Konsulttj?nster

Tj?nster f?r l?rande

Managed Services

Hitta en partner p? 好色先生TV

Hitta en partnerl?sning

V?xa som partner

Tillg?ngsbibliotek

H?ndelser

Kundber?ttelser

好色先生TV Navigator