Aftur í leiðbeiningar

Hvað er tveggja þátta auðkenning?

Tveggja þátta auðkenning (two-factor authentication, 2FA), einnig kölluð fjölþátta auðkenning (MFA), bætir öðru öryggislagi við lykilorðið: einhverju sem þú hefur, eins og síma eða öryggislykli. Jafnvel þótt lykilorðið leki kemst árásaraðilinn ekki inn án annars þáttarins. Hún er ódýrasta einstaka vörnin sem hægt er að kveikja á.

Skilgreiningin

Auðkenning byggist á þáttum af þremur gerðum: einhverju sem þú veist (lykilorð), einhverju sem þú hefur (sími, öryggislykill) og einhverju sem þú ert (fingrafar, andlit). Tveggja þátta auðkenning krefst tveggja ólíkra þátta við innskráningu, oftast lykilorðs og staðfestingar í síma. Þess vegna dugar stolið lykilorð eitt og sér ekki lengur til innbrots.

Hvers vegna lykilorð eitt dugar ekki

Lykilorð leka. Gagnalekar hjá vefsvæðum og þjónustum eru reglulegir atburðir, og lekin lykilorð enda í söfnum sem árásaraðilar keyra sjálfvirkt á aðrar þjónustur. Sú aðferð kallast innskráningarprófun með stolnum lykilorðum (credential stuffing) og er ein algengasta innskráningarárásin. Veiðipóstur hirðir líka lykilorð á fölsuðum innskráningarsíðum daglega. Tveggja þátta auðkenning gerir lekið lykilorð að hálfum lykli sem opnar ekkert eitt og sér.

Leiðirnar, frá sterkustu til veikustu

Ekki eru allar útfærslur jafn öruggar. Röðin frá sterkustu til veikustu:

  • Aðgangslyklar (passkeys) og vélbúnaðarlyklar: dulmálslyklar bundnir við tækið og vefsvæðið sjálft. Ónæmir fyrir veiðipósti, því lykillinn virkar ekki á falsaðri síðu.
  • Auðkenningarforrit (authenticator app): kóði sem endurnýjast í símanum, til dæmis Microsoft eða Google Authenticator. Sterk og einföld leið fyrir flesta.
  • Push-staðfesting með númerastaðfestingu (number matching): þú slærð inn tölu af innskráningarskjánum í símann, sem ver gegn því að samþykkja beiðni í ógáti.
  • SMS-kóði: langtum betri en ekkert, en veikasta leiðin. Símanúmer er hægt að hertaka með SIM-kortasvindli (SIM swap) og kóða er hægt að veiða á falsaðri síðu.

MFA-þreyta: árásin á staðfestinguna sjálfa

Árásaraðilar reyna ekki alltaf að brjóta tveggja þátta auðkenningu, stundum þreyta þeir hana. Sá sem hefur komist yfir lykilorðið sendir staðfestingarbeiðnir aftur og aftur, jafnvel um miðja nótt, í von um að þú samþykkir eina í ógáti eða til að fá frið. Þetta kallast MFA-þreyta (MFA fatigue). Reglan er einföld: samþykktu aldrei staðfestingarbeiðni sem þú kallaðir ekki sjálf(ur) fram. Óvænt beiðni þýðir að einhver annar er með lykilorðið þitt, og þá á að hafna, breyta lykilorðinu og láta tölvudeildina vita.

Hvar á að byrja

Mikilvægasti reikningurinn er tölvupósturinn, því hann er endurstillingarlykill að nánast öllu öðru: sá sem kemst í pósthólfið getur endurstillt lykilorð á öðrum þjónustum. Þar á eftir koma bankinn og vinnukerfin. Á flestum þjónustum tekur það örfáar mínútur að kveikja á tveggja þátta auðkenningu í öryggisstillingum, og auðkenningarforrit er betri kostur en SMS þar sem það býðst.

Algengar spurningar

Hvað er tveggja þátta auðkenning?
Tveggja þátta auðkenning (2FA/MFA) krefst tveggja ólíkra þátta við innskráningu, oftast lykilorðs og staðfestingar í síma eða öryggislykli. Stolið lykilorð eitt og sér dugar þá ekki til innbrots.
Er SMS-staðfesting nógu góð?
SMS er langtum betra en engin tveggja þátta auðkenning, en veikasta útfærslan: símanúmer er hægt að hertaka með SIM-kortasvindli og kóða er hægt að veiða á falsaðri síðu. Auðkenningarforrit eða aðgangslyklar eru sterkari kostir þar sem þeir bjóðast.
Hvað eru aðgangslyklar (passkeys)?
Aðgangslyklar eru dulmálslyklar geymdir í tækinu þínu sem koma í stað lykilorðs eða styrkja það. Þeir eru bundnir við rétta vefsvæðið og virka því ekki á falsaðri innskráningarsíðu, sem gerir þá ónæma fyrir veiðipósti.
Hvað er MFA-þreyta?
Árás þar sem einhver með lykilorðið þitt sendir staðfestingarbeiðnir aftur og aftur í von um að þú samþykkir eina í ógáti. Vörnin: samþykktu aldrei beiðni sem þú kallaðir ekki sjálf(ur) fram, hafnaðu, breyttu lykilorðinu og láttu tölvudeildina vita.

Kenndu öllu teyminu þetta á fimm mínútum á mánuði

Varhugi er með sérstök námskeið um tveggja þátta auðkenningu og MFA-þreytu, á íslensku og með prófi sem staðfestir að efnið sitji eftir.