Multifaktorgenkendelse

Hvordan man vælger en god multifaktor (MFA)-løsning

Hermed nogle vigtige overvejelser, når du vælger en MFA-løsning.

Tidens credential-baserede angreb er langt mere sofistikerede. Uanset om det er avancerede phishing-teknikker, udstopning af legitimationsoplysninger eller endda legitimationsoplysninger, der kompromitteres gennem social engineering eller brud på en tredjepartstjeneste, er legitimationsoplysninger let det mest sårbare punkt i forsvaret af virksomhedssystemer. Alle disse angreb nøglen på traditionelle legitimationsoplysninger, brugernavne og adgangskoder, som er forbi deres udløbsdato som en legitim sikkerhedsforanstaltning. En oplagt vej frem i at forbedre adgangssikkerheden er MFA.

Sikkerhedsansvarlige har brug for kontrol. Fysisk sikkerhed opnås ofte ved at begrænse indgangsstederne, hvilket gør det muligt for sikkerhedspersonale at kontrollere id’er eller få enkeltpersoner til at gå gennem metaldetektorer. Før eksplosionen af internettet og web-baserede apps, den fælles digitale indgang var firma-bibliotek og medarbejderne brugte et enkelt sæt legitimationsoplysninger til at godkende virksomhedens ressourcer og få adgang til virksomhedsapps.

Moderne infrastruktur og web-baserede forretningsapplikationer gør det meget vanskeligere at opretholde et enkelt indgangssted uden specialiserede værktøjer til at opretholde sikkerhedsposition. MFA tilbyder betydelige forbedringer af godkendelsesprocessen, hvoraf den første er den ekstra faktor i sig selv, herunder en smartphone, hardware MFA-token eller en SMS- eller e-mail-baseret godkendelseskode. Godkendelsesprocessen er ikke længere afhængig af videnbaserede elementer som et brugernavn og en adgangskode, som kan kompromitteres gennem phishing eller andre ondsindede teknikker. Godkendelsesforsøg, der udnytter yderligere MFA-faktorer, kræver enten interaktion fra en bruger med en registreret enhed eller en fysisk hardwareenhed, hvilket minimerer virkningen af et kompromitteret brugernavn og adgangskode.

Valg af MFA-løsning

Den vanskelige del med enhver sikkerhedsforanstaltning er at holde det praktisk, eller i det mindste effektiv, for slutbrugere. Det værste, virksomheden kan gøre, er at hæve sikkerhedskravet så meget, at brugerne ikke kan få adgang til virksomhedens ressourcer eller de finder måder at omgå og kompromittere de sikkerhedsforanstaltninger, som er indført.

MFA-faktorer er en nøglefunktion, når man vælger en godkendelsesudbyder. SMS og e-mail-baserede sikkerhedskoder er det absolutte minimum og er bedre end ingenting, men overvej, om der opnås det sikkerhedsniveau, der er brug for. Både e-mail og SMS er potentielt sårbare over for kompromis. MFA-standarder som tidsbaserede engangsadgangskoder (TOTP) understøttes ofte af godkendelsesapps som Google Authenticator og andre, men afhænger i sidste ende af et enkelt godkendelsestoken, der er kendt af både godkendelsestjenesten og brugerens godkendelsesenhed. Mange MFA-udbydere er afhængige af protokoller, der tilbyder både stærk sikkerhed og et praktisk godkendelsesflow ved hjælp af push-meddelelser til en registreret mobilenhed.

MFA-udbydere i virksomheder tilbyder yderligere værktøjer og funktioner til at forbedre godkendelsessikkerheden. MFA-tjenester, der er korrekt implementeret, kan hjælpe dig med at opnå et enkelt fokuspunkt for godkendelse på tværs af en række applikationer og virksomhedsressourcer. Med dette centrale punkt for godkendelsestrafik kan du implementere yderligere funktioner som forbedret logføring og analyse, godkendelsespolitikker og endda AI og risikobaseret adgang.

Et andet aspekt at overveje, når du vælger en MFA-løsning, involverer den slags virksomhedsressourcer, du ønsker at sikre. Cloud-apps som Office 365, Google Workspaces eller Salesforce er oplagte mål og en nem gevinst for MFA. Firma-VPN er en anden almindelig case for MFA. VPN er i bund og grund porten til organisationens netværk og bør beskyttes mindst lige så godt som fysisk adgang til virksomhedens faciliteter. Udnyttelse af MFA med interne eller tilpassede virksomhedsapps er lidt af en hårdere gevinst og afhænger i høj grad af modenheden af den app, man ønsker at sikre. Endelig er der solide grunde til at implementere MFA til godkendelse til virksomhedens desktops og servere, især i en tid, hvor flere og flere brugere arbejder eksternt.

Tæt forbundet med de ressourcer, du sikrer med MFA, er den infrastruktur, der er nødvendig for at binde disse ressourcer sammen med det eksisterende identitetslager. Uanset er der en god chance for et ønske om at binde MFA-udbyderen til virksomhedsidentitetslageret. Dette vil ofte indebære integration med en lokal LDAP-mappe (Lightweight Directory Access Protocol). Mange MFA-udbydere gør dette ved hjælp af enten en softwareagent, der er installeret på dit lokale netværk eller via LDAPS (LDAP over SSL).

Med hensyn til infrastruktur vil cloud-apps ofte være en nem gevinst, da mange integreres problemfrit ved hjælp af standarder som Security Assertion Markup Language (SAML). De fleste VPN-løsninger understøtter integration med RADIUS (Remote Authentication Dial-In User Service), som enten kan bruges til at kanalisere godkendelse til en eksisterende RADIUS-server og derefter til din MFA-udbyder eller i nogle tilfælde kommunikere direkte med MFA-udbyderen ved hjælp af RADIUS-standardprotokoller. Tilpassede eller internt hostede virksomhedsapps kan kræve interaktion med MFA-udbyderen via API, eller potentielt kan SAML udnyttes. MFA til stationære computere og servere kræver software, der er installeret på hvert slutpunkt, for at kunne indsætte sig selv i godkendelsesprocessen.

Kilde: CSOonline

Scroll til toppen