7 saker man bör tänka på innan man växlar till MFA
Det är svårt med lösenord. Den (nästan konstant) växande listan av säkerhetskrav är tänkt att göra lösenord säkra, men i många fall får det motsatt effekt. Komplexa lösenord som uppfyller alla krav är ofta svåra att komma ihåg så man använder dem ofta på många ställen. Användare skriver ner dem på post-it-lappar. De väver in lätt upptäckta namn på husdjur, födelsedagar och telefonnummer. Det blir omöjligt att hålla data skyddade. Som tur är börjar organisationer att inte bara förstå detta utan också att det ska vara svårt för hackare att få tillgång men samtidigt enkelt för legitima användare. Bästa sättet att få det är att använda multifaktorautentisering (MFA).
MFA är mycket bra för att säkra användarnas appar och tjänster från obehörig åtkomst. Här är något att tänka på när man planerar utplaceringen.
1. Utbildning av användare
Man placerar ut MFA för att minska säkerhetsriskerna med åtkomst bara med lösenord, men vissa användare ser detta som besvärligt. De kan vara oroliga för att en sådan förändring kommer att ta tid som de kunde använt bättre.
Se ändå till att alla, från ledningen till slutanvändare, förstår varför man växlar till MFA. Det är viktigt att alla i hela organisationen accepterar detta så att alla också bidrar till att hålla företaget säkert. Detta sker genom utbildning där alla användare får se vilka säkerhetsfördelar som de bidrar till genom detta ytterligare steg.
2. Fundera på principer för MFA
En bra strategi för utplacering av MFA kommer att balansera säkerhet mot användarvänlighet för att inte bli alltför betungande, så fundera på hur du definierar dina MFA-principer som styr hur och när ytterligare faktorer krävs.
Det kan verka motsägelsefullt men ibland är det bättre att inte trappa upp autentiseringen så ofta. En väl övervägd konfigurering av riskbaserade principer bör trappa upp autentiseringar bara när det är nödvändigt.
En princip kan exempelvis se till att en andra faktor bara krävs när den som loggar in till en tjänst befinner sig utanför företagets nätverk (baserat på IP-adress) eller från ett annat land (baserat på GeoIP-plats). Eller du har kanske en viss grupp av användarkonton med stor tillgång till känsliga data och vill ha striktare principer för dem. MFA gör att du kan kräva en andra faktor när de försöker få tillgång till den känsliga resursen, men inte om de till exempel vill se företagets evenemangskalender. Den grundläggande idén är att ytterligare verifikation ska vara så transparent som möjligt för användaren som då får en god användarupplevelse utan att tumma på säkerheten.
3. Ge utrymme för många olika åtkomstbehov
Det finns situationer där användaren har tillgång till internet men har liten eller ingen täckning från mobiloperatören. Det kan vara i flygplan med wifi, på landsbygden eller bara i källaren i en stor betongbyggnad. I dessa fall där varken röstsamtal eller SMS är möjliga, är Okta Verify Push med återkoppling eller engångslösenord (OTP) ett bättre val eftersom kommunikationen är krypterad över mobilens internet-anslutning.
Maskinvara som genererar händelsebaserad eller tidbaserade engångslösenord (TOTP) behöver ingen kommunikationskanal alls. De är också svårare att manipulera eller kopiera. Men förutom kostnaderna för utplaceringen så blir det ytterligare en pryl som de anställda måste bära med sig, glömma hemma eller tappa bort. Det betyder att det kanske inte är ett bra alternativ för tillfällig personal eller i situationer med hög personalomsättning.
När det gäller MFA-faktorer så kan man lösa det på många olika sätt. Välj det som passar för ditt företag men tänk på att många principer och faktorer kan användas utan att ha en lösning för alla situationer (vilket är det normala fallet).
4. Tänk igenom noga innan du använder SMS för engångslösenord
SMS är enkelt och är standard i mobiltelefoner och surfplattor som finns nästan överallt. Det har därför blivit en vanlig kommunikationskanal för engångslösenord (OTP). SMS har normalt ansetts som tillräckligt säkert för detta, men det beror delvis på att infrastrukturen för det mesta är både privat och inte transparent.
Forskning visar att SMS-säkerhet saknas och inte bara när det gäller kända sårbarheter. Med SMS är du beroende av telefonoperatörens säkerhet och även om du litar på att de följer bästa praxis för säkerheten så finns alltid risken för spoofing (identitetsbluff) och social manipulation. I många fall är det inte tekniskt svårt för en angripare att länka ditt nummer till en enhet som de kontrollerar och få tillgång till dina SMS-meddelanden och OTP.
Av dessa skäl avråder NIST användning av SMS, men du måste slutligen göra din egen riskbedömning baserat på dina användare, användarfall och data som skyddas. Trots allt är MFA med SMS fortfarande bättre än ingen MFA.
5. Studera gällande regelverk noga
Flertalet regelverk för IT-följsamhet såsom PCI DSS, SOX och HIPAA påbjuder kraftfull autentisering av användare och detta motiverar införandet av MFA. Det kan tyckas självklart men om målet är att följa dessa regelverk så måste man ha en ingående förståelse av reglerna för att kunna anpassa konfiguration och principer till dem.
Exempelvis så kräver PCI- och HIPAA-reglerna kraftfull autentisering som innefattar minst två av följande tre starka autentiseringsmetoder: något du vet, något du har och något du är. SOX är inte så fokuserat på teknik men för att klara en revision måste man ändå kunna visa att organisationens finansiella data och bokföring är säker.
IT-följsamhet kräver att gällande regelverk följs men den kräver också att man kan visa att reglerna följs. Dokumentationen måste vara en del av konfiguration och implementering så att man snabbt och trovärdigt kan visa att reglerna följs under en revision. Ditt framtida jag (och din organisation) kommer att tacka dig.
6. Ha en plan för borttappade enheter
Den andra typen av autentiseringsfaktorer i en typisk MFA är "något du har" (den första är "något du vet" och den tredje "något du är"). I fallet SMS, röstsamtal eller en autentiseringsapp såsom Okta Verify eller Google Authenticator måste användaren ha sin telefon. I fallet maskinvarutoken från YubiKey, RSA eller liknande måste användaren ha sitt token. Men vad än användaren har så kan det komma bort.
En procedur för att hantera försvunna enheter bör redan vara en del av IT-supportens agenda. Utöka det till att innehålla enheter som används för MFA och se till att rapporter om försvunna resulterar i:
-
Att pågående sessioner avslutas där användaren åter måste autentiseras
-
Att enheten tas bort från användarens konto och åtkomsträtter
-
Att fjärradering av företagsinformation om nödvändigt görs i mobila enheter
Det är också viktigt att göra en revision av aktiviteter på användarens konto innan enheten försvann för att spåra eventuell ovanlig aktivitet. Om något misstänkt upptäcks så beakta risken för intrång och skärp vaksamheten.
När de omedelbara säkerhetsriskerna har hanterats ska fokus ligga på att få tillbaka den anställda i arbete med en utbytesenhet eller ny inloggningsmetod. En alternativ process som att ringa IT-supporten för att verifiera identiteten kan t.ex. få den anställda att åter bli produktiv medan man väntar på att utbytesfaktorerna har implementerats.
7. Var beredd på att revidera om och om igen
Det är sällan komplicerade utplaceringar och principer passar perfekt redan från början. Med en ändring av processer som kan påverka alla anställda är det alltid klokt att kontrollera effektiviteten av en MFA-lösning när den implementeras och används så att man kan finjustera principerna baserat på observationer.
Vänj dig tidigt vid revisionsfunktioner i processen så kommer det vara ovärderligt för felsökning och omkonfigurering av principer. När du väl har placerat ut MFA till användare använder du revisionsverktygen för att punktmarkera användning. En mekanism som låter användaren ge feedback kan också vara en bra idé.
Visserligen tar användarna inte alltid sig tid att lämna skriftlig feedback men revisionen ger dig en viss idé om vad de faktiskt tycker. Tog det dem tre försök att ange engångslösenordet? Gav de upp? Sådana problem kan tyda på en felkonfigurering, brister i användarutbildning eller helt enkelt en oväntad situation som ingen tänkt på i den initiala utplaceringen.
Användning av revisionsverktyg och att uppmuntra till feedback från personalen försäkrar alla intressenter att systemet fungerar som det ska och att nya säkerhetsprinciper införs utan problem.
Bonus: Överväg Adaptive MFA
Dessa tips är en bra början och MFA-tillägg kan till och med ge finkornig kontroll över hur och när MFA används, men det kräver noggranna övervägningar för konfigurering. I vissa fall vill du kanske fatta snabba beslut baserat på ändringar av användare eller enheter trots att du har väldefinierade principer och kriterier.
Titta på Oktas Adaptive MFA-lösning om du vill ha möjlighet att göra dynamiska förändringar. Adaptive MFA loggar åtkomstmönster och anpassar sedan principer för varje användare eller grupp.
Om en anställd, t.ex. en som reser regelbundet och kontrollerar sin e-post från ett annat land behöver kanske bara ibland använda en andra autentiseringsfaktor, medan någon som aldrig reser omedelbart skulle behöva MFA om de anslöt från ett annat land. Riskbaserade principer, som att prompta för högre nivå av autentisering när de försöker få tillgång till resurser via en icke-auktoriserad proxy eller att automatiskt blockera tillgång från kända riskabla IP-adresser kan också ske när misstänkta händelser detekteras.
Adaptive MFA är ett kraftfullt verktyg som automatiskt och successivt tar fram dynamiska principer som är tillräckligt fasta för att ge dig den säkerhet som företaget kräver men ändå tillräckligt flexibla för att hantera användarna som individer.