Säker åtkomst i digitala tider:
Varför autentisering behöver evolvera

Hur många konton har en användare i genomsnitt? Studier visar att om man räknar ihop arbetsplatsen, sociala konton, e-handel och personliga appar så har en användare mer än 100 olika konton där man på något sätt ska identifiera sig.

Vår mänskliga hjärna är inte optimerad för att komma ihåg unika lösenord för respektive inloggning och då tar man till genvägar. Vissa användare använder sig av Password Managers men de allra flesta väljer att återanvända samma lösenord eller använda så enkla lösenord som möjligt för att komma ihåg.

Sämst, och tyvärr väldigt vanligt, är att återanvända ett enkelt lösenord. Enligt wikipedia är det mest använda lösenordet “123456”, vilket är lätt att komma ihåg men samtidigt lätt att gissa. Verktyg för att utföra attacker där man gissar lösenord finns att ladda ner på nätet, och med dagens datorer så går det på ett ögonblick att testa av de vanligast lösenorden eller för den delen testa av alla olika kombinationer av möjliga tecken.

En dator baserat på Pentium 100, släppt i mitten av 90-talet, klarar av att utföra ca 10 000 gissningar per sekund, en modern superdator klarar på samma tid av att göra 1 000 000 000 gissningar. Det är inte bara styrkan på datorn som avgör hur fort ett lösenord kan knäckas, ett lösenord på 9 tecken som inkluderar ett specialtecken tar upp till 2 timmar att knäcka medans ett lösenord på 9 tecken där inget specialtecken ingår klaras av på kortare än 2 minuter.

Underhåll och administration av lösenord kommer till en kostnad. Samtal till IT-avdelningen vid bortglömda lösenord och tappad produktivitet när man inte kommer åt applikationen eller systemet är bara några exempel. Gartner uppskattade att 40% av alla helpdesk-samtal är relaterade till lösenordsåterställningar, vilket kostar företagen i snitt $70 per händelse enligt Forester Research.

Genom att lägga till en ny dimension vid autentisering så ökas säkerheten markant. MFA kräver att användaren verifierar sin identitet genom att tillhandahålla minst två olika bevis från följande kategorier:

1. Något användaren vet - som ett lösenord eller en PIN-kod.

2. Något användaren har - som en mobiltelefon eller ett smartkort.

3. Något användaren är - som biometriska data inklusive fingeravtryck, ansiktsigenkänning eller iris-skanning.

Denna kombination av flera autentiseringsfaktorer gör det avsevärt svårare för obehöriga att få tillgång till känsliga system och data. Enligt en studie från Microsoft kan MFA blockera 99,9% av de automatiserade attackerna.

Många av oss använder redan MFA utan att kanske riktigt reflektera över det. BankID är ett exempel där du kan mixa mellan de tre exemplen ovan: Du har en mobil, en fil på din dator eller ett smartcard och använder du samtidigt ditt ansikte eller ditt fingeravtryck istället för PIN kod så använder du MFA helt utan lösenord.

Implementering av MFA bör göras med användarupplevelsen i åtanke. Det är viktigt att processen är så friktionsfri som möjligt för att inte avskräcka användning. Paletten med olika typer av MFA är stor och man kan som organistation använda fler metoder än en beroende på behov.

Förutom tidigare nämnda BankID och liknande Freja eID så finns flertalet andra mobilbaserade lösningar som tex MS Authenticator eller Google Authenticator. Alternativen till mobilappar är många: One-Time Passwords (OTP) levererade via SMS eller mail, smartcards och läsare, hårdvarudongles med fingeravtrycksläsare.

Beroende på den miljö man vill skydda, vilken typ av användare som ska ha tillgång och vilken typ av data/system som man ska ha åtkomst till så väljer man den eller de sätten för MFA som är mest passande.

Idag finns det lösningar som erbjuder adaptiv autentisering, där säkerhetskraven anpassas baserat på användarens beteende och risknivån i realtid. Till exempel, en inloggning från en känd enhet under normala arbetstimmar kan kräva färre autentiseringsfaktorer jämfört med en inloggning från ett nytt land på ovanliga tider.

Tekniken för MFA fortsätter att utvecklas, med nya metoder som använder artificiell intelligens och maskininlärning för att ytterligare förbättra säkerheten och användarvänligheten. Det är tydligt att flerfaktorsautentisering spelar en central roll i att skydda både individers och organisationers digitala identiteter i en alltmer uppkopplad värld.

Genom att implementera MFA kan organisationer och individer dramatiskt minska risken för obehörig åtkomst och de kostnader som är förknippade med lösenordshantering, samtidigt som användarupplevelsen förbättras. Det är en viktig säkerhetsåtgärd i en tid där digitala hot ständigt utvecklas och blir mer sofistikerade.

Cybersäkerheten i offentlig sektor är dålig, enligt en delrapport från Myndigheten för samhällsskydd och beredskap, MSB. Av 291 organisationer i offentlig förvaltning som deltog i undersökningen klarade 7 av 10 inte av att nå upp till grundläggande nivå för...

Regeringen har beslutat om stärkt styrning kring hur myndigheter återrapporterar sitt arbete med...

Här ingår bland annat Infosäkkollen och It-säkkollen. Infosäkkollen är en mätning och ett verktyg som stödjer uppföljning och förbättring av...