Der findes flere forskellige slags MFA’er

Multifaktorautentifikation (MFA) er udråbt til at være den Hellige Gral i adgangskontrol og er i mange tilfælde løsningen på alle ledere og systemadministratorers hovedpine: Dårlige kodeord. Men hvilken MFA er egentlig den bedste?

I slutningen af 2021 kom regeringens cyber- og informationssikkerhedsstrategi med et afsnit om den dårlige sikkerhedskultur blandt danskere. Med afsnittet fulgte et interessant og afslørende tal fra rapporten Danskernes informationssikkerhed 2020, som DKCERT udarbejdede i samarbejde med Digitaliseringsstyrelsen. Tallet viste, at kun 16 pct. af danskerne efterlever anbefalingerne om at have kodeord på mere end 12 tegn, der ikke genbruges flere steder.

I DKCERT beskæftiger vi os med cyber- og informationssikkerhed i uddannelses- og forskningssektoren, og vi har til opgave bl.a. offentliggøre viden, som vi har skabt i samarbejde med vores partnere. Vi har i den nævnte rapport ikke undersøgt kodeordskulturen blandt ansatte og studerende i vores sektor, men vi har på den anden side heller ikke grund til at tro, at kodeordskulturen skulle være væsentligt anderledes, når vi er en del af sektoren, end når vi bare er en del af den danske befolkning.

Så: Houston.. We have a problem. Vi har også en solution, og det er MFA.

Men. For der er også et ’men’.

Dette ’men’ behandler vi i vores trendrapport 2022, som vi publicerede på cert.dk i slutningen af april, og som vi sender ud i trykt format til vores samarbejdspartnere i løbet af en uges tid.

MFA er ikke bare MFA

Lad mig slå fast: MFA vil altid være bedre end brugernavn/kodeord alene. Og efter min opfattelse skal vores sektor gøre alt, hvad den kan, for at fremme MFA og ikke bygge sikkerheden på brugernavn/kodeord. Det hører til den menneskelige natur at springe over, hvor gærdet er lavest. Findes nemmere og mindre sikre veje at gå i forhold til informationssikkerhed, så går vi dem. Uanset hvor meget vi uddanner brugerne og forsøger at højne sikkerhedskulturen. Det viser tallet med de 16 pct.

Vi skal med andre ord hæve gærdet, og det kan man gøre på forskellige måder. Også inden for MFA. Det er det, som vores temaartikel i trendrapporten handler om. Vidste du måske, at der pt. findes 13 forskellige MFA-typer? Hvad HOTP og TOTP er? Og at FIDO og PKI token er langt sikrere end SMS-MFA?

I temartiklen gennemgår vi flere af de forskellige MFA-typer og beskriver deres sikkerhedsprofil via et skema, som ved første øjekast virker helt uforståeligt. Men bruger man lidt tid på det, så får man faktisk langt mere forståelse for kompleksiteten i informationssikkerhedens forunderlige verden end blot MFA-teknologier.

Bekvemmelighed kontra sikkerhed

Fx viser skemaet de forskellige MFA-teknologiers modstandsdygtighed over for en række trusler som tyveri, tyveri via man-in-the-middleangreb, kodeordsgætteri, kompromittering af MFA-enhed og kompromittering af en brugers workstation. Under password står der fx at modstandsdygtigheden mod gætteri er ’betinget’. Ja, den er betinget af længden og kompleksiteten af kodeordet. Er kodeordet 1234, er det nemt at gætte. Er kodeordet på 64 tegn, bogstaver, tal, tegn osv. er det svært at gætte. Til gengæld er første nemt at huske og det sidste svært.

Her handler det om kodeordskultur, og dér bør man kende sig selv godt nok til at vide, hvad der fungerer for én. Det har intet med teknik at gøre. Det er et spørgsmål om bekvemmelighed kontra sikkerhed.

Når vi så taler om bekvemmelighed, så er det DKCERTs opfattelse og mange eksperters, at MFA er den mest bekvemmelige løsning, når der også tages sikkerhed med i ligningen. Det kan ovenikøbet også være økonomisk fornuftig. Er den det, har vi fundet den balance mellem sikkerhed, brugervenlighed og økonomi, som sikkerhed i virkeligheden handler om.

Hvilken MFA skal man vælge?

Her i foråret kom det frem, at en drengebande fra Storbritannien kaldet Lapsus$ havde kompromitteret Microsoft. Det viste sig, at samme kompromitteringsteknik var anvendt af den antageligvis topprofessionelle og statssponsorerede russiske hackergruppe Cozy Bear, der brød ind hos Solarwinds. Kompromittering af MFA adgangskontrollen. Hvordan kunne det lade sig gøre?

Jo, der var bl.a. brugt SMS som MFA-metode, men som skemaet i trendrapporten faktisk viser, så er SMS som ’faktor to’ ikke særlig modstandsdygtig over for ’theft’, ’man-in-the-middle’ og ’MFA-device kompromittering’. Og ja, MFA-device kompromittering kan fx være SIM-swapping, hvilket lige nøjagtig er den teknik, som de mindreårige i Storbritannien brugte.

I et andet tilfælde har vi læst om, hvordan aktører kan bombardere en stakkels medarbejder med SMS’er og one-time passwords hele natten, så han/hun til sidst bliver så træt, at der uforvarende lukkes kriminelle ind i virksomhedens netværk. Er det teknik? Nej, det er nærmest torturering af folk, der bare gerne vil sove.

Så den vinkel i valg af MFA-teknologi skal også tages med i betragtning. Og den viser trusselsaktørers kreativitet i forsøg på kompromittering af alt, hvad der kan kompromitteres.

Bundlinjen er, at trusselsaktører er kendt for at springe over hvor gærdet er lavest. Så de vil altid forsøge at profitmaksimere og bruge færrest mulige ressourcer i forhold til udbyttet.

Derfor skal vi som ansvarlige for informationssikkerheden på en uddannelses- eller forskningsinstitution se den kendsgerning i øjnene, når vi vælger login-metode.

Efter min opfattelse bør det – set i lyset af den værdi, som dansk viden repræsenterer og det høje trusselsniveau – være en nemt valg.

Vælg altid den bedste MFA. Kig selv i skemaet og se hvilken én det er. Og husk så, at hvis du lader de brugere, der er i besiddelse af et brugernavn og et password i dag, selv registrere deres anden-faktor, så har du ingen sikkerhed for, at det altid er de rigtige, der logger på med MFA. Du er nødt til at verificere identiteten af brugerne, selvom det er besværligt.