MFA

Her er de 8 bedste multifaktorautentificeringsprodukter på markedet lige nu

Hermed vigtige overvejelser i forbindelse med en MFA-løsning, da legitimationsbaserede angreb er meget mere sofistikerede. Uanset om det er avancerede phishing-teknikker, legitimationsudstoppning eller endda legitimationsoplysninger, der kompromitteres gennem social engineering eller brud på en tredjepartstjeneste, er legitimationsoplysninger let det mest sårbare punkt i forsvaret af virksomhedssystemer. Alle disse angreb er nøglen til traditionelle legitimationsoplysninger, brugernavne og adgangskoder, som er forbi deres udløbsdato som en legitim sikkerhedsforanstaltning. Den mest effektive vej frem til at forbedre adgangssikkerheden er at implementere multifaktorautentificering (MFA).

Sikkerhedsprofessionelle har brug for kontrol. I fysisk sikkerhed opnås dette ofte ved at begrænse indgangsstederne, hvilket gør det muligt for sikkerhedspersonale at kontrollere id’er eller få enkeltpersoner til at gå gennem metaldetektorer. Før eksplosionen af internettet og webbaserede apps var det eneste digitale indgangspunkt virksomhedskataloget. Medarbejdere brugte et enkelt sæt legitimationsoplysninger til at godkende og modtage autorisation til virksomhedsressourcer og få adgang til virksomhedsapps.

Moderne infrastruktur og webbaserede forretningsapplikationer gør det meget vanskeligere at opretholde dette ene indgangspunkt uden specialiserede værktøjer til at opretholde sikkerhedsstillingen. MFA tilbyder betydelige forbedringer af godkendelsesprocessen, hvoraf den første er selve den ekstra faktor: en smartphone, hardware MFA-token eller en SMS- eller e-mail-baseret godkendelseskode. Godkendelsesprocessen er ikke længere udelukkende afhængig af videnbaserede elementer som et brugernavn og en adgangskode, som kan kompromitteres gennem phishing eller andre ondsindede teknikker (som blot at bede om legitimationsoplysninger). Godkendelsesforsøg, der udnytter yderligere MFA-faktorer, kræver enten interaktion fra en bruger med en registreret enhed eller et fysisk hardwaretoken, hvilket minimerer virkningen af et kompromitteret brugernavn og adgangskode.

Da vi taler om MFA, bør vi dække et par af de store buzzwords: adgangskodeløs og Zero-Trust. Passwordless er et ligetil koncept. Hvis du kan godkende brugere med mere sikre faktorer – biometriske eller softwaretokens – bliver adgangskoder uvedkommende. Mange af de MFA-platforme, vi vil diskutere her, kan bruges til at lette adgangskodeløs godkendelse, hvis din business case er en kandidat, bare bemærk, at der kan være en modningsproces for din MFA-implementering.

Det andet populære udtryk, Zero-Trust, er mere en bred model til sikring af din infrastruktur. Traditionelt startede netværkssikkerhed med at opretholde en sikker perimeter, hvilket betyder, at brugere eller enheder, der er tilsluttet virksomhedens netværk, ofte havde et minimalt niveau af adgang til virksomhedens ressourcer som standard. Zero-Trust antager intet om dit netværks perimeter og tegner sig for alle variationer af cloud- eller on-prem-infrastruktur. MFA-løsninger spiller ind i Zero-Trust på en række forskellige måder. For det første hjælper det med at etablere tillid, inden brugeren godkendes, ved at udnytte mere sikre faktorer og endda sikre, at en administreret enhed bruges, hvis det er nødvendigt. MFA-løsninger kan også evaluere og anvende politikker dynamisk, et andet vigtigt princip om Zero-Trust, ved at evaluere forskellige komponenter i godkendelsesforsøget, sammenligne det med eksisterende trusselsdata, score risikoniveauet og anvende yderligere godkendelseskrav i et forsøg på at styrke tilliden. Endelig er en stor del af disse dynamiske politikker at have nok data til algoritmerne og maskinindlæringen at tygge på, og dette er et andet område, hvor MFA kan hjælpe dig med at komme videre til en Zero-Trust løsning ved at kanalisere alle dine forskellige godkendelsesprocesser til en centraliseret løsning, hvor du kan spore forsøg og etablere en basislinje for, hvordan betroet aktivitet ser ud.

Valg af MFA-løsning

Den vanskelige del med enhver sikkerhedsforanstaltning er at holde det praktisk eller i det mindste effektivt for slutbrugerne. Det værste, du kan gøre, er at øge sikkerhedskravene så meget, at brugerne enten ikke kan (eller ikke vil) få adgang til virksomhedens ressourcer, eller de finder måder at omgå og kompromittere de sikkerhedsforanstaltninger, du har indført.

MFA-faktorer er en nøglefunktion, når du vælger en godkendelsesudbyder. SMS og e-mail-baserede sikkerhedskoder er det absolutte minimum og er bedre end ingenting, men overvej, om disse faktorer giver det sikkerhedsniveau, du har brug for. Både e-mail og SMS er potentielt sårbare over for kompromis. MFA-standarder såsom tidsbaserede engangsadgangskoder (TOTP) understøttes ofte af godkendelsesapps som Google Authenticator og andre, men afhænger i sidste ende af et enkelt godkendelsestoken, der er kendt af både godkendelsestjenesten og brugerens godkendelsesenhed. Mange MFA-udbydere tilbyder mobilapps som en anden godkendelsesfaktor, der er afhængige af proprietære protokoller, der tilbyder både stærk sikkerhed og et praktisk godkendelsesflow, op til og med push-meddelelser. Der er et par standarder derude for MFA: FIDO (Fast IDentity Online) fra FIDO Alliance og WebAuthn (Web Authentication) fra W3C er to populære muligheder. FIDO2-standarden kombinerer WebAuthn og FIDO’s Client to Authenticator Protocol 2 (CTAP2) og er en tilgængelig faktor for flere MFA-platforme til virksomheder. FIDO2 er et populært valg på grund af bekvemmelighed, da det kan udnytte enten hardwaretokens som Yubico’s Yubikey eller enhedsbaserede godkendelsesfunktioner som Apple Touch ID eller Windows Hello.

Enterprise MFA-udbydere tilbyder yderligere værktøjer og funktioner til at forbedre godkendelsessikkerheden. Korrekt implementeret kan MFA-tjenester hjælpe dig med at opnå et enkelt fokuspunkt for godkendelse på tværs af en række applikationer og virksomhedsressourcer. At have dette centrale punkt for godkendelsestrafik giver dig mulighed for at implementere yderligere funktioner såsom forbedret logning og analyse, godkendelsespolitikker og endda kunstig intelligens (AI) og risikobaseret betinget adgang. Virksomheder bør også overveje den indledende installationsproces for platformen som helhed og især sværhedsgraden for brugerne at tilmelde sig MFA-løsningen.

Et andet aspekt, der skal overvejes, når du vælger en MFA-løsning, involverer den slags virksomhedsressourcer, du ønsker at sikre. Cloud-apps som Office 365, Google Workspaces eller Salesforce er oplagte mål og en nem gevinst for MFA. Corporate VPN er en anden almindelig brugssag for MFA, og hvorfor ikke? Din VPN er i det væsentlige porten til dit netværk og bør beskyttes mindst lige så godt som fysisk adgang til virksomhedens faciliteter. Ligeledes bør VDI -implementeringer (virtuel desktopinfrastruktur) have dit fokus for MFA -godkendelse, da de ofte åbner adgang til virksomhedsressourcer, når brugerne har godkendt. Udnyttelse af MFA med interne eller brugerdefinerede forretningsapps er lidt af en hårdere gevinst og afhænger stort set af modenheden af den app, du ønsker at sikre. Endelig er der solide grunde til at implementere MFA til godkendelse til virksomhedens desktops og servere, især i en æra, hvor flere og flere brugere arbejder eksternt.

Tæt sammenflettet med de ressourcer, du sikrer med MFA, er den infrastruktur, der er nødvendig for at binde disse ressourcer sammen med dit eksisterende identitetslager. Ofte vil dette indebære integration med en lokal LDAP-mappe (Lightweight Directory Access Protocol). Mange MFA-udbydere gør dette ved hjælp af enten en softwareagent installeret på dit lokale netværk eller via LDAPS (LDAP over SSL). Hvis din virksomhedsskala garanterer flere mapper, bliver tingene lidt mere komplicerede, og du vil sikre dig, at din valgte MFA-løsning er moden nok til at håndtere denne kompleksitet ved at definere ting som hvilket lager der indeholder stamdataene for bestemte attributter, og hvordan attributter mellem forskellige lagre matcher.

Med hensyn til brugssagsspecifik infrastruktur vil cloud-apps ofte være en let gevinst, da mange integreres problemfrit ved hjælp af standarder som Security Assertion Markup Language (SAML). De fleste VPN-løsninger understøtter integration med RADIUS (Remote Authentication Dial-In User Service), som enten kan bruges til at kanalisere godkendelse til en eksisterende RADIUS-server og derefter til din MFA-udbyder eller i nogle tilfælde kan kommunikere direkte med din MFA-udbyder ved hjælp af standard RADIUS-protokoller. Brugerdefinerede eller internt hostede forretningsapps kan kræve interaktion med MFA-udbyderen via API, eller saml kan potentielt udnyttes. MFA til desktops og servere kræver software installeret på hvert slutpunkt for at indsætte sig selv i godkendelsesarbejdsgangen.

8 top multifaktorautentificeringsprodukter

MFA-segmentet er et købers marked. Der er flere meget solide muligheder, hver med et omfattende funktionssæt og en hel del fleksibilitet. Denne liste over tjenester nedenfor er ikke altomfattende, og inkludering udgør ikke en godkendelse.

  • Cisco Secure Access fra Duo
  • IBM-sikkerhedsbekræftelse
  • LastPass MFA
  • Microsoft Azure AD MFA
  • Okta adaptiv MFA
  • PingOne MFA
  • RSA SecurID
  • Yubico Yubikey
  • Cisco Secure Access fra Duo

Duo har et af de større fodaftryk af nogen af MFA-tjenesterne. Der er et par store salgsargumenter for Duo. Implementering af Duo MFA-godkendelse til forskellige applikationer, tjenester og endda servere er en ligetil proces, hvor mange apps integreres ud af kassen. Derudover understøtter Duo’s MFA-app en nem, sikker tilmeldingsproces og push-godkendelse, der er både praktisk og sikker.

IBM-sikkerhedsbekræftelse

IBM Security Verify er IBM’s indgang til Identity Management og MFA-området. IBM Security Verify tilbyder MFA-muligheder for cloud- eller on-prem-apps, VPN og endda desktops. En af de største funktioner med Verify er den fleksibilitet, du har mellem MFA-faktorer, integrationer med andre identitetsudbydere og måske vigtigst af alt de brede muligheder inden for adaptiv adgang og risikobaseret godkendelse. I bund og grund tilbyder IBM Security Verify alle de funktioner, du har brug for til at beskytte adgangen til dine virksomhedsressourcer.

LastPass MFA

LastPass er bedst kendt for deres adgangskodeadministratorer, men deres MFA-tilbud er robust nok til at berettige omtale her. LastPass MFA er en tilføjelse til LastPass Business, selvom business-brugere får grundlæggende MFA-funktionalitet. MFA-tilføjelsen bringer kontekstuelle godkendelsespolitikker, understøttelse af både arbejdsstationer og VPN’er samt muligheden for at integrere med andre identitetsudbydere (IDP’er) som mange af de andre løsninger på denne liste.

Microsoft Azure AD MFA

For det meste er alle bekendt med Azure AD på dette tidspunkt, og det er ingen hemmelighed, at Microsoft tilbyder en solid basislinje for MFA og betinget adgang. Nogle funktioner (især betinget adgang og risikobaseret godkendelse) kræver premium-konti, men grundlæggende MFA-funktionalitet er inkluderet i en gratis Azure AD-forekomst. Det er også værd at bemærke, at nogle Office 365-konti inkluderer Azure AD Premium, hvilket gør det til et nemt valg for et stigende antal virksomheder.

Okta adaptiv MFA

Med hensyn til moderne identitetsstyring og adaptive MFA-politikker er Okta en af de førende løsninger på markedet og bør virkelig være på alles korte liste over potentielle muligheder. Okta tilbyder en række værktøjer og tjenester omkring identitet og godkendelse, så virksomhedens it kan vælge og vrage de elementer, der passer bedst til deres behov.

PingOne MFA

Ping Identity har tilbudt løsninger til sikring af identiteter i nogen tid og har et robust sæt tjenester rettet mod styring og sikring af virksomhedsidentiteter. PingOne MFA fokuserer på de forskellige aspekter af MFA, herunder mekanikken i push-baseret MFA, engangsadgangskoder, biometri og andre nøglekomponenter i den kundevendte godkendelsesproces. PingOne tilbyder også dynamiske politikker for at optimere godkendelsesprocessen for brugere og giver dig mulighed for at anvende brugerdefineret branding eller endda integrere tjenesten i dine egne forretningsapplikationer.

RSA SecurID

RSA har været i MFA-spillet siden før skybaserede MFA-tjenester virkelig tog fart og forbliver førende af en række årsager. RSA’s MFA-mobilapp er på niveau med enhver anden løsning derude med hensyn til funktioner, og RSA tilbyder stadig hardwaretokens, der genererer roterende engangsadgangskoder (OTP) til brug med VPN’er, webapplikationer eller andre virksomhedsressourcer.

Yubico YubiKey

Hvis du har foretaget nogen tidligere forskning på MFA, er du sandsynligvis stødt på YubiKey: et lille hardwaretoken, der integreres med mange af de MFA-tjenester, der er anført her (og mange andre). Til forretningsscenarier tilbyder Yubico et par tjenester, der primært er centreret omkring at hjælpe med at styre forsyningskædeaspektet ved udstedelse af tokens til medarbejdere. YubiEnterprise-abonnement tilbyder en omkostningseffektiv måde at vedligeholde et bufferlager eller YubiKeys samt håndtere periodiske opgraderinger. YubiEnterprise Delivery hjælper ligeledes med at styre udstedelsen af YubiKeys, men gennem direkte forsendelse snarere end it-butikken, der opretholder lageret. Yubicos anden tjeneste, YubiCloud, er et sæt API’er, du kan bruge til at udnytte YubiKey-godkendelse fra dine forretningsapplikationer.

Kilde: CSO

Foto: Pexels

Scroll to Top