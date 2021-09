Flerfaktorsautentisering belyser både det bästa och det sämsta i företagens it-säkerhet. Som Roger Grimes redan för tre år sedan skrev i en artikel om tvåfaktorshack är flerfaktorsautentisering (multi-factor authentication, MFA) verksamt om det görs rätt – men om it-cheferna tar genvägar kan det ta en ände med förskräckelse.

MFA är långt ifrån universellt, även om fler och fler organisationer använder det. Enligt en undersökning som Microsoft genomförde i fjol var det 99,9 procent av komprometterade konton som inte använde MFA alls. Bara 11 procent av alla företagskonton skyddas av något slags MFA-metod.

Pandemin har varit både bra och dålig för MFA. Pandemin har ju förändrat datoranvändningen för många företagsanvändare. Nedstängningar och distansarbete har drivit fram införande av MFA – men också gett hackare tillfälle till nätfiske.

Enkäter som gjorts av Garrett Bekker, senior undersökningsanalytiker på S&P Global Market Intelligences 451 Research, har det blivit ett hopp i andelen företag som använder MFA. Från ungefär hälften i förra årets undersökning till 61 procent i årets – ”främst därför att så många fler människor jobbar på distans. Ändå använder de flesta företag MFA bara i begränsad omfattning”, säger han:

– Men det har blivit deras högsta prioritet för framtiden, till och med högre än VPN.

I senaste Verizon Data Breach Investigations Report skriver Bernard Wilson, ansvarig för hantering av nätverksintrång för USA:s Secret Service, att ”organisationer som har försummat att införa MFA jämsides med virtuella privata nätverk utgjorde en betydande andel av de drabbade offren under pandemin”.

Förutom covid-19 har det funnits flera andra skäl nyligen att införa MFA:

Men attacker och incidenter senaste tiden visar att säkerhetsproffs har en del att göra om de vill ha säkra system för autentisering med två eller fler faktorer.

Här är några sätt för angripare att utnyttja svagheterna i MFA.

Det största problemet med MFA har att göra med det allra vanligaste utförandet: engångslösenord som skickas med sms. Detta problem beror på att det är enkelt för hackare att kompromettera användares smarta mobiler och tillfälligt flytta över numret till en telefon som de har. Ett sätt att göra detta illustreras av denna tweet:

