headphones newspaper video-player

Guide: Vad är tvåfaktorsautentisering?

Allt fler företag drabbas av IT-relaterad brottslighet. Ett sätt att skydda sig är så kallad tvåfaktorsautentisering. Men hur fungerar det egentligen? Här ger Sebastian Elfors, senior lösningsarkitekt på IT-säkerhetsföretaget Yubico, sina experttips till företagare som vill undvika att få sina konton hackade.

talare-1.pngTvåfaktorsautentisering (2FA) är en metod för att öka säkerheten eftersom en kombination av två olika typer av faktorer krävs för inloggning. Ett lösenord eller, i vissa fall, en PIN-kod är en faktor. Exempel på tvåfaktorsautentisering – varav några är mer uppenbara än andra – inkluderar:

● Engångslösenord: en USB-enhet eller mobiltelefon som genererar engångslösenord baserat på en hemlig nyckel och klockslag eller ett slumpmässigt värde.

● Biometri: röstigenkänning eller skanning av fingeravtryck.

● Smarta kort: detta är kort med inbäddade krypteringschip som innehåller autentiseringsuppgifter som certifikat och privata nycklar.

● Magnetband: kort som innehåller data såsom identifieringsnummerskrivna på magnetiska lagringsmedier. De kan innehålla andra säkerhetsfunktioner såsom ett ID-kort.

● Säkerhetsnycklar: hårdvarunycklar för moderna autentiseringslösningar som Web Authn, som används för bland annat inloggning till Microsoft Azure AD och Google Cloud.

På vilket sätt är det ett effektivt för att för att öka den digitala säkerheten i ett företag?

Enligt flera IT-säkerhetsrapporter är phishing, det vill säga stöld av lösenord, den vanligaste hackerattacken. Rapporten Cyber-Risk Oversight 2020 bedömer att phishing utgör 22% av alla intrångsförsök. Därmed är en investering i tvåfaktorsautentisering ett förhållandevis billigt sätt att skydda verksamheten från dataintrång.

Vad ska man tänka på som småföretagare om man vill införa tvåfaktorsautentisering i det egna bolaget?

Man bör utgå från de tvåfaktorslösningar som finns inbyggda i existerande molntjänster, serverapplikationer, mailprodukter och sociala medier. Då får du en välintegrerad, testad och väl beprövad säkerhetslösning baserad på befintligteknik. De flesta moderna system har sådana inbyggda funktioner.

Hur går man rent konkret till väga för att införa tvåfaktorsautentisering? Är det kostsamt?

Tvåfaktorsautentisering finns inbyggt i de flesta moderna molntjänster, mailapplikationer och sociala medier. Bland annat finns stöd för engångslösenord och FIDO2 inbyggt i Microsoft Azure AD, Microsoft Office 365, Google Cloud, Google, Gmail, Amazon AWS, Twitter, Facebook, Salesforce, etc. För att generera engångslösenord kan man använda produkter som Microsoft Authenticator, Google Authenticator, Yubico Authenticator, etc. Den senaste autentiseringslösningen är baserad på FIDO2, som kan användas med säkerhetsnycklar som YubiKeys. FIDO2 är en standard som har tagits fram av de globala standardiseringsorganisationerna FIDO Alliance och W3C, och anses vara säkrare än engångslösenord eftersom den ger ett komplett skydd mot phishing.

Vilka är de största riskerna som ni ser bland svenska företag när det kommer till digital säkerhet?

Förutom phishing och stöld av lösenord, vilket är de vanligaste IT-attackerna, bör man som företagare var uppmärksam på nedanstående hot mot sina IT-system:

● Virus, trojaner och malware är väldigt vanligt förekommande och sprids bland annat via email, script på webbsidor eller nedladdade program. Dessa virus kan orsaka mycket skada, exempelvis genom att kryptera hårddisken, raderafiler eller skicka ut spam-mail i användarens namn.

● Om operativsystemen och applikationerna inte uppdateras regelbundet kan det uppstå säkerhetsbrister som kan utnyttjas av hackers.

● Även nätverkstrafik kan avlyssnas eller hackas, bland annat om man använder publikt WiFi eller inte har aktiverat brandväggen på datorn.

● Information kan stjälas, bland annat genom intrång utifrån, men även av anställda som har tillgång till databaser med konfidentiell information.

● Ett företag kan utsättas för överbelastningsattacker, vilket innebär att en mängd program simultant riktar väldigt mycket trafik mot ett företagswebbservrar.

Finns det några alternativa lösningar som också bidrar till ökad IT-säkerhet?

För att skydda sig mot IT-säkerhetshoten ovan bör man beakta nedanstående lösningar:

● Installera antivirusprogram på företagets datorer för att skydda dem mot virus, trojaner och malware.

● Hålla sina system uppdaterade med de senaste programvarorna och uppdateringarna för såväl operativsystem som applikationer.

● Aktivera brandväggen på alla datorer i företaget.

● Kryptera all kommunikation med företagets servrar, bland annat med VPN-lösningar. Det är särskilt viktigt när många arbetar hemifrån, inte minst under COVID19-pandemin.

● Uppmana användarna att undvika publika nätverk.

● Använd olika lösenord för olika IT-system, samt spara alla lösenord i en krypterad lösenordshanterare.

● Gör regelbundna säkerhetskopior av innehållet i företagets datorer.

● Ge användarna instruktioner att inte öppna suspekta mail eller besöka webbsidor som inte har godkända server-certifikat.

Vilka trender ser ni på Yubico framöver kopplat till IT-brottslighet? Vad ska man som småföretagare vara vaksam för?

Den senaste trenden är så kallad ransomware och leakware, vilket innebär att en hacker stjäl ett företags information och krypterar denna. Sedan utpressas företagaren att betala en lösensumma. Om företagaren vägrar att betala dekrypterar hackern informationen och publicerar den på dark web. Detta kan innebära att konfidentiell information om produkter, kunder eller anställda läcker ut, vilket kan leda till skadeståndskrav eller juridiska efterspel om det har spridits personuppgifter i brott mot GDPR.
En annan trend är “spear phishing”, eller så kallat ”harpunfiske”, vilket innebär att en specifik person blir måltavla för phishing-försök. En hacker kan med “social engineering” kartlägga en person och skicka mail från vad som uppfattas vara legitima källor, som en bank. Sådana riktade angrepp förekom bland annat under USA-valet 2020.

Hur ska du som företagare tänka kring IT-säkerhet om du har externa styrelseledamöter? Vilka misstag bör undvikas?

De externa styrelseledamöterna bör använda mailkonton som tillhör företaget, istället för att de använder sina privata mailkonton. Dokument med konfidentiell information bör arkiveras och hanteras centralt av företagens dokumenthanteringssystem; det finns sådana lösningar inbyggda i Google Cloud, Microsoft Office 365, etc. Vidare bör externa styrelseledamöter få tillgång till samma säkerhetslösningar för distansarbete som övriga anställda. Checklistan för allmän IT-säkerhet bör även följas av externa styrelseledamöter, inte minst bör de använda tvåfaktorsautentisering vid inloggning till företagets IT-system.

Räkna ut kostnaden för ditt medlemskap

Medlemskapet ger dig rabatter, rådgivning och nätverk.

Bli medlem – tillsammans kan vi förändra

49 anledningar ...

... att bli medlem i Företagarna. Vi är stolta över att kunna visa upp allt du får.

Nätverk

Företagarnas nätverk bygger på kunskap och inspiration för att förbättra möjligheterna för dig som driver företag.