Tekniska ämnen

Vad är multifaktorautentisering?

Illustration av IT-artiklar med fokus på en glödlampa

Översikt

När du får åtkomst till en skyddad resurs autentiserar du dig mot ett datalager med din referensinformation. Den består av en påstådd identitet och en hemlighet som är associerad med den. Traditionellt har detta gjorts med ett enkelt användarnamn och lösenord, och det är den vanligaste autentiseringsmetoden idag. Tyvärr har det visat sig att autentisering med användarnamn/lösenord är ganska sårbart för nätfiske och hackning av inloggningsuppgifter. Eftersom lösenord kan vara svåra att komma ihåg tenderar människor att välja ett enkelt lösenord och återanvända det i sina olika online- och molntjänster. Detta innebär att när en referens hackas på en tjänst testar illvilliga utomstående den på andra personliga och professionella digitala tjänster.

Flerfaktorsautentisering (MFA) är utformad för att skydda mot dessa och andra typer av hot genom att kräva att användaren tillhandahåller två eller flera verifieringsmetoder innan de kan få tillgång till en specifik resurs som en applikation, datalagring eller ett privat nätverk.

Begreppet "faktor" beskriver de olika typer av autentisering eller metoder som används för att verifiera någons påstådda identitet. De olika metoderna är:

Något du känner till - som ett lösenord, en memorerad PIN-kod eller utmaningsfrågor.
Något du har - historiskt sett var det en hård token, men idag är det vanligare med en smartphone eller ett säkert USB-minne.
Något du är - vanliga biometriska kännetecken är fingeravtryck, ansiktsigenkänning; mindre vanliga är biometriska kännetecken som röst eller andra igenkänningstekniker.

Multi-faktor autentisering

Hur bestämmer jag hur många faktorer jag ska konfigurera för en skyddad resurs?

Säkerhets- och användbarhetskrav avgör vilken process som används för att bekräfta sökandens identitetsanspråk. Flerfaktorsautentisering gör det möjligt för säkerhetsteamen att reagera på sammanhanget eller situationen för den som begär det (person eller programprocess), där borttagning av åtkomst är det vanligaste scenariot. Utöver att bestämma hur många typer av autentisering som ska krävas måste IT också balansera kostnaden för användbarhetskraven med kostnaden för att implementera dem.

Single-Factor Authentication (SFA)

SFA har varit och är fortfarande standard för att säkra åtkomst till mobil, online och annan säkrad information och anläggningar. Eftersom det är så vanligt förekommande och billigt är den vanligaste typen av SFA användarnamn och lösenord. Ändå används lösenordslös teknik i allt större utsträckning för att undvika hot från olika nätfiskeattacker. Till exempel tillåter de flesta mobilbaserade appar användning av fingeravtryck eller ansiktsigenkänning i stället för det traditionella användarnamnet och lösenordet.

Idag erbjuder Microsofts och Yahoos onlinetjänster ett lösenordsfritt SFA-alternativ, och andra leverantörer som Apple och Google kommer att erbjuda samma alternativ under det kommande året.

Eftersom de används för att verifiera identiteter måste autentiseringstokens skyddas mot utomstående. Förutom stark token-säkerhet konfigureras de ofta så att de går ut ganska ofta, vilket ökar uppdateringsfrekvensen. Även om implementering av kortlivade tokens som används under det lösenordslösa gränssnittet höjer säkerheten, når det inte upp till den nivå som erbjuds av tvåfaktorsautentisering.

Tvåfaktorsautentisering (2FA)

2FA stärker säkerheten genom att kräva att användaren tillhandahåller en andra typ (vet, har, är) för identitetsverifiering. Det ena identitetsbeviset kan vara en fysisk token, t.ex. ett ID-kort, och det andra kan vara något som memoreras, t.ex. en utmaning/ett svar, en säkerhetskod eller ett lösenord. En andra faktor höjer ribban avsevärt för illvilliga och andra utomstående aktörer att lyckas bryta sig igenom säkerheten.

Här är en lista över populära autentiseringsmetoder:

Engångslösenord - TOTP, HOTP, YubiKey och andra FIDO-kompatibla enheter
Annat utanför bandet - röstsamtal, mobil push
PKI - certifikat
Biometri - fingeravtryck, ansikte, röstigenkänning
Närhet - kort, geostängsel i mobilapp
Vad du vet - lösenord, utmaningsfrågor
Sociala referenser

Trefaktorsautentisering (3FA)

Lägger till ytterligare en faktor till tvåfaktorn för att göra det ännu svårare att förfalska en påstådd identitet. Ett typiskt scenario kan vara att lägga till biometri till ett befintligt användarnamn/lösenord plus en inloggning med närhetskort. Eftersom det tillför en betydande grad av friktion bör det reserveras för situationer som kräver en hög säkerhetsnivå. Banker kan hitta situationer där 3FA är meningsfullt, liksom olika statliga myndigheter. Specifika högkontrollområden inom en del av en flygplats eller ett sjukhus är också områden där säkerhetsteam har ansett att 3FA är nödvändigt.

Var används MFA vanligtvis?

Även om många organisationer ser användarverifiering som en eftertanke, är det viktigt att notera att Verizons årliga DBIR konsekvent visar att hackning av referenser är en toppstrategi för intrång. Det är bara en tidsfråga innan praktiskt taget alla organisationer drabbas av en händelse där de förlorar känslig information som resulterar i en påtaglig ekonomisk förlust och potentiell förlust av kundförtroende.

Det som gör dessa trender anmärkningsvärda är att det aldrig har funnits en tid då multifaktorautentisering har varit så bekvämt och prisvärt att implementera som det är idag. Traditionellt har organisationer begränsat sina MFA-implementeringar till en liten undergrupp av specialiserade användare som arbetar med information som utgör en högre risknivå för verksamheten. Kostnad och användbarhet har ofta varit de begränsande faktorerna som förhindrat en bredare användning av teknik för stark autentisering. Historiskt sett har metoder för stark autentisering varit dyra att köpa in, distribuera (inklusive att registrera användarna) och administrera. Men på senare tid har det skett en rad genomgripande förändringar i olika branscher, inom organisationerna själva, deras kunder (eller patienter, medborgare, partners etc.) och den teknik som de har tillgång till.

Vilka är de viktigaste affärsdrivkrafterna för att implementera multifaktorautentisering?

Även om varje organisation har sina egna konkreta krav finns det affärsdrivande faktorer på hög nivå som ofta är gemensamma för alla:

De flesta branscher måste följa någon typ av sekretesslagstiftning som rör kund-, patient- eller finansiell information. Dessutom fortsätter statliga myndigheter att fastställa sina policyer som kräver MFA för verifiering av användaridentitet.
Distansarbete - fler än någonsin utför arbete utanför kontoret, antingen som vägkrigare eller som distansanställda. Oavsett om det är en del av deras riskhanteringsrutiner eller som en del av ett efterlevnadsinitiativ som omfattar information (kund, patient, medborgare, HR etc.) som är föremål för statliga autentiseringsmandat.
Power-användare och de organisationer de arbetar inom gör det i en genomgripande uppkopplad värld, vilket innebär att när deras referenser bryts är den exponerade sårbarheten för deras arbetsgivare en tvingande kraft för att säkra sina konton med MFA.
I stort sett alla har en uppkopplad dator (smartphone) i fickan som de använder för att sköta sina liv: sociala medier, personaliserat innehåll och e-handel. Eftersom kunderna förväntar sig att interagera med företag digitalt på sina enheter, har organisationer ofta en aggressiv strategi för mobilappar som kräver MFA för att hantera sina risker.

Vilka mandat kräver att organisationer använder MFA för att uppfylla kraven?

Federal Financial Institutions Examination Council (FFIEC) utfärdade i oktober 2005 riktlinjer som kräver att bankerna omprövar sina inloggningsprotokoll och anser att enfaktorsautentisering, när den används som enda kontrollmekanism, är otillräcklig för högrisktransaktioner som innebär tillgång till eller förflyttning av medel, och att de ska förbättra autentiseringen baserat på risken med deras tjänster. Utöver mandatet har finansinstituten också höga krav på sig att vinna sina kunders förtroende.
Gramm-Leach-Bliley Act (GLBA) - Amerikanska finansinstitut måste säkerställa säkerheten och sekretessen för sina kundregister.
Enligt avsnitt 404 i Sarbanes-Oxley Act (SOX) ska VD och CFO i börsnoterade företag intyga att organisationens interna kontroller är effektiva.
PCI DSS krav 8.2 definierar autentiseringskrav som inkluderar MFA för fjärråtkomst till Cardholder Data Environment (CDE). Det rekommenderar också vilka metoder som bör användas.

Vilka är några sätt att göra MFA mindre påträngande för användarupplevelsen?

IT-avdelningen har tillgång till några tekniker för att minska den friktion som MFA potentiellt kan innebära för användarna:

Enkel inloggning.
Riskbedömning av en begäran om tillgång.
Matcha den bästa autentiseringstypen till användaren.

Enkel inloggning (SSO)

Single sign-on (SSO) gör det möjligt för en användare att autentisera sig till flera resurser genom en enda interaktion från användaren, vilket innebär att användaren anger en enda autentiseringsuppgift från vilken den underliggande infrastrukturen autentiserar sig till var och en av de skyddade resurserna för användarens räkning under den sessionen. Den säkraste metoden för SSO är att autentiseringsmotorn använder en unik uppsättning autentiseringsuppgifter för varje resurs som konfigureras för SSO. Detta bygger upp säkerheten till en hög nivå eftersom:

Användaren känner inte till de faktiska inloggningsuppgifterna för resursen, utan bara de inloggningsuppgifter som används och som tillhandahålls till autentiseringsgatewayen. Detta tvingar användaren att använda autentiseringsgatewayen i stället för att gå direkt till resursen. Det innebär också att varje resurs har en unik referens, så om identitetslagret för en av dem utsätts för intrång påverkar det inte de andra. Det här tillvägagångssättet gör det möjligt för IT att uppfylla MFA-kraven samtidigt som man utför serieautentiseringar till skyddade resurser.
Genom att utnyttja användarkontexten kan riskbaserad (RBA) teknik användas för att endast använda MFA när det behövs. Oavsett om det handlar om att uppfylla ett myndighetskrav eller genomdriva organisationens policy för riskhantering kan RBA användas för att minska antalet tillfällen då en användare måste genomgå en autentiseringsförfrågan. Policyer är ofta en blandning av plats, enhet och tid för åtkomst.

Alternativ för autentisering med låg friktion

Även om de traditionella OTP:erna/TOTP:erna kommer att fortsätta vara den vanligaste typen av 2:a-faktorautentisering kan det finnas andra alternativ som är mer meningsfulla i en viss situation. Mobila push-appar utanför bandbredden erbjuder ett lågfriktionsalternativ till OTP eftersom allt användaren behöver göra är att trycka på acceptknappen. För situationer med högre risk har vissa push-appar alternativet Push-mobilappar kan konfigureras så att de kräver ett fingeravtryck för att verifiera personens identitet samt en bekräftelse av information, till exempel ett nummer, som presenteras på skrivbordet för att ytterligare verifiera att användaren har både skrivbordet och smarttelefonen.

Ansiktsigenkänning håller snabbt på att bli det biometriska valet för autentisering. Windows Hello har låg friktion och blir bättre med tiden, vilket ger en bekväm användarupplevelse. Den största utmaningen är att Windows Hello inte fungerar bra i olika ljussituationer. Denna oförmåga att känna igen ansikten i olika ljusförhållanden kan hanteras med ytterligare ansiktsregistreringar. På senare tid har vissa mobilappar börjat erbjuda möjligheten att registrera en persons irismönster i ögonen. När biometriska autentiseringsalternativ används tillsammans (ansikte, fingeravtryck, iris) höjs säkerhetsribban ganska högt för en utomstående. Biometriska metoder är också ett utmärkt alternativ för organisationer som letar efter ett lågfrekvent sätt att skydda sig mot nätfiskeattacker.

Röstigenkänning har blivit populärt inom sektorn för finansiella tjänster. Institutionerna gillar det eftersom det är helt passivt för kunderna när de talar med en servicerepresentant. Representanten får ett meddelande när kundens identitet har verifierats. De använder röstigenkänning i stället för utmaningsfrågor med kunder som ofta har svårt att komma ihåg de korrekta svaren på dem. I det här fallet optimeras säkerheten och användbarheten.

FIDO/FIDO2 är attraktiva alternativ där användarna rör sig mellan flera enheter. En del av det som gör FIDO till ett attraktivt autentiseringsalternativ är dess breda leverantörsstöd och deras fokus på användbarhet. FIDO har fått en anmärkningsvärd dragkraft på universitet som hanterar ett stort antal studenter som använder en mängd olika digitala tjänster. FIDO gör det möjligt att porta lösenordsfri autentisering mellan olika enheter och plattformar.

Profilering av smartphone-gester är en typ av beteendeanalys som utför heuristik om hur ägaren hanterar och fysiskt interagerar med sin enhet. Resultatet är förtroendebetyg baserade på spårning av gestmönster. Med tiden ökar profileringen i förtroende och bygger ut gesttroheten. Även om gestprofilering inledningsvis inte är tillräckligt stark för att vara den primära formen av identitetsverifiering, kan den fungera som en lämplig metod som används tillsammans med andra typer av autentisering.

Hur skiljer sig NetIQ från andra MFA-lösningar?

Säkerhetsteam implementerar ofta den stödjande programvara som medföljde den autentisering som de använder. Detta verkar fungera bra tills olika enheter köps in som kräver en annan programvaruimplementering, vilket skapar ännu en silo. I stora organisationer är det fullt möjligt att ha flera silos av lösenordslös teknik som används för antingen multifaktorautentisering eller för att uppfylla något annat autentiseringskrav. Svagheten med den här situationen är att varje autentiseringssilo har sin egen uppsättning policyer. Att hålla dessa flera policylager uppdaterade kräver högre administrativa kostnader och medför en risk för ojämna policyer.

OpenText™ NetIQ™ Advanced Authentication är utformat för att tillgodose även den största organisationens behov av multifaktorautentisering. Det standardbaserade tillvägagångssättet ger en öppen arkitektur som är fri från riskerna med inlåsning av leverantörer. Ramverket stöder en mängd olika enheter och ytterligare metoder direkt, men kan också utökas i takt med att ny teknik kommer ut på marknaden.

Oavsett plattform (webb, mobil, klient) ger AA också stöd för de vanligaste plattformarna och applikationerna. Utöver att fungera som den centrala policymotorn för företagsövergripande autentiseringar, erbjuder AA också en riskbaserad motor för att styra när MFA aktiveras samt vilka autentiseringstyper som erbjuds under olika risknivåer. Utöver sin egen inbyggda motor kan AA integreras med NetIQ Access Manager som tillhandahåller en robust uppsättning av single sign-on-alternativ och riskmätningar som kan användas som en del av en adaptiv åtkomsthantering.

Resurser

Vad är Privileged Access Management?

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

AnalysdatabasAnalysdatabas

Analys av ostrukturerad dataAnalys av ostrukturerad data

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

FöretagssökningFöretagssökning

Aviator Sök

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstjänster för B2BIntegrationstjänster för B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Affärsnätverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av innehållAI-hantering av innehåll

Integration av företagIntegration av företag

Insamling och intelligent dokumentbearbetningInsamling och intelligent dokumentbearbetning

Information ArchivingInformation Archiving

ProcessautomatiseringProcessautomatisering

InformationsstyrningInformationsstyrning

Innehåll Aviator

Cybersecurity CloudCybersecurity Cloud

ApplikationssäkerhetApplikationssäkerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Underrättelser om hotUnderrättelser om hot

Upptäckt och hantering av hotUpptäckt och hantering av hot

Cybersäkerhet Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud teknisk dokumentationDeveloper Cloud teknisk dokumentation

Aviator Tryckkraft

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Funktionell testningFunktionell testning

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Webb- och varumärkesupplevelserWebb- och varumärkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Analys av kontaktcenterAnalys av kontaktcenter

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

ServicehanteringServicehantering

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

NätverkshanteringNätverkshantering

IT-drift Aviator

PortfolioPortfolio

Dataskydd och säkerhetskopiering av slutpunkterDataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhetEndpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhetArkivering, eDiscovery och datasäkerhet

Information i ny tappningInformation i ny tappning

Artificiell intelligensArtificiell intelligens

IndustriIndustri

FöretagsapplikationerFöretagsapplikationer

Din resa till framgångDin resa till framgång

KundtjänstKundtjänst

Tjänster för kundframgångTjänster för kundframgång

Strategi & rådgivningStrategi & rådgivning

KonsulttjänsterKonsulttjänster

Tjänster för lärandeTjänster för lärande

Managed ServicesManaged Services

Hitta en partner på OpenTextHitta en partner på OpenText

Hitta en partnerlösningHitta en partnerlösning

Växa som partnerVäxa som partner

Bli en partner

TillgångsbibliotekTillgångsbibliotek

BloggarBloggar

HändelserHändelser

Utvalda

Analytics Cloud

Analysdatabas

Analys av ostrukturerad data

Business Intelligence och rapportering

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Företagssökning

Business Network Cloud

Integration av leveranskedjan

Integrationstjänster för B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av innehåll

Integration av företag

Insamling och intelligent dokumentbearbetning

Information Archiving

Processautomatisering

Informationsstyrning

Cybersecurity Cloud

Applikationssäkerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Underrättelser om hot

Upptäckt och hantering av hot

Developer Cloud

Information Management Services

Developer Cloud teknisk dokumentation

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Funktionell testning

Prestandateknik

Experience Cloud

Webb- och varumärkesupplevelser

Meddelanden

Kundresa och data

Media Management

Analys av kontaktcenter

IT Operations Cloud

Servicehantering

FinOps

AIOps och observerbarhet

Automatisering

Nätverkshantering

Portfolio

Dataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhet

Information i ny tappning

Artificiell intelligens

Industri

Företagsapplikationer

Din resa till framgång

Kundtjänst

Tjänster för kundframgång

Strategi & rådgivning

Konsulttjänster

Tjänster för lärande

Managed Services

Hitta en partner på OpenText

Hitta en partnerlösning

Växa som partner

Tillgångsbibliotek

Bloggar

Händelser

Samhällen

Kundberättelser

OpenText Navigator