Principer och identitet

Multi-Factor Authentication (MFA)

Kräv 2+ faktorer (kunskap, innehav, inneboende) för att minska legitimationsrisken.

Var du ser detta: Används när du utformar och driver åtkomstkontroll, autentisering, auktorisering och identitetslivscykel.

Vad det är

Multifaktorautentisering är en autentiseringsmetod som kräver minst två olika faktorer, till exempel något du vet, något du har eller något du är. Det kan implementeras med en enda autentiseringsenhet som kombinerar faktorer eller med flera autentiseringsenheter som tillhandahåller distinkta faktorer.

Nyckelpunkter
  • Föredrar WebAuthn/lösenord där det är möjligt.
  • Fallback till TOTP eller tryck; undvik SMS.
  • Använd step-up MFA för riskfyllda handlingar.

Hur det fungerar i stora drag

  1. Välj faktorkombinationer som matchar risken, till exempel en nätfiskeresistent enhetsbaserad faktor för administratörer.
  2. Bind autentiserare till konton på ett säkert sätt och designa återställning så att det inte blir den svagaste länken.
  3. Övervaka MFA-händelser och misslyckanden för att upptäcka mönster för nätfiske, push-bombning och tokenstöld.

Konkret exempel

En finansadministratör loggar in med ett lösenord plus en maskinvarustödd autentisering. Riskfyllda åtgärder som att ändra bankuppgifter kräver ökad autentisering. Kontoåterställning kräver verifierad identitet och kan inte slutföras med enbart e-poståtkomst.

Varför det är viktigt

Lösenord blir nätfiskade, återanvänds och läcker ut. MFA höjer kostnaden för kontoövertagande och hjälper till att försvara privilegierad åtkomst och fjärråtkomstvägar som angripare riktar sig mot först.

Säkerhetsperspektiv

  • Föredrar phishing-resistenta metoder för högriskkonton och handlingar, inte vilken andra faktor som helst.
  • Betygsgräns och varning vid upprepade misslyckanden och ovanliga MFA uppmaningar för att snabbt fånga upp missbruk.
  • Hårdar kontoåterställning och registrering eftersom angripare ofta kringgår MFA genom att missbruka återställningsflöden.

Vanliga fallgropar

  • Förutsatt att en andra faktor är lika stark, även när det är lätt att nätfiska eller avlyssna.
  • Tillåter återgång till lösenord endast för bekvämlighet, vilket skapar en angripargenväg.
  • Underskattning av social ingenjörskonst och attacker mot utmattning av meddelanden mot push-baserade MFA.

FÖRDJUPNING

Faktorer, verifierare och vad som faktiskt räknas som MFA

MFA handlar om distinkta faktorer, inte bara om flera steg. Ett lösenord plus ett andra lösenord är fortfarande en faktor. De klassiska kategorierna är något du vet, något du har och något du är.

NIST vägledning beskriver MFA som att det kräver mer än en distinkt autentiseringsfaktor, antingen genom en multifaktorautentisering eller genom att kombinera autentiseringsenheter som tillhandahåller olika faktortyper. Den distinktionen hjälper dig att utvärdera om en metod verkligen ger oberoende säkerhet.

Styrkeskillnader och nätfiskemotstånd

Alla MFA är inte lika. Vissa metoder är mycket motståndskraftiga mot nätfiske och repris, medan andra kan avlyssnas eller socialt utvecklas. Nyckelfrågan är om en angripare kan fånga faktorn och återanvända den från en annan enhet eller session.

För högriskåtkomst, prioritera metoder som är resistenta mot lösenordsfiske och sessionsuppspelning. Detta är särskilt viktigt för privilegierade konton, fjärråtkomst och åtkomst till känslig data.

Livscykel och återhämtning är en del av kontrollen

Verkliga implementationer misslyckas när återställningen är svag. Om en angripare kan återställa MFA med hjälp av en komprometterad e-postinkorg eller ett helpdesk-skript, blir den andra faktorn valfri i praktiken.

Behandla inskrivning, enhetsbyten och återhämtning som högriskhändelser. Tillämpa ytterligare verifiering, övervakning och vänteperioder där så är lämpligt, och logga dem som förstklassiga säkerhetshändelser.

Operativa realiteter och vanliga attackmönster

Push trötthet attacker utnyttjar mänskligt beteende genom att översvämma användarna med godkännande uppmaningar. SMS-baserade koder kan vara sårbara för avlyssning och kontoövertagande av telefonnummer. TOTP-koder kan fortfarande nätfiskas i realtid om angriparen kontrollerar flödet.

Försvarare bör kombinera MFA med risksignaler, såsom enhetshållning och avvikelsedetektering, och bör varna om mönster som upprepade avslag, ny enhetsregistrering eller inloggningar från ovanliga platser.

Hur man börjar och förbättrar iterativt

Börja med att aktivera MFA för de konton som betyder mest: administratörer, användare med fjärråtkomst och konton med åtkomst till känslig data. Använd de starkaste autentiseringsalternativen som finns tillgängliga för dessa grupper och utöka sedan täckningen till den bredare arbetsstyrkan.

Förfina sedan policyn med ökad autentisering för högriskåtgärder och stärk återhämtningen. Med tiden kan du mäta minskningar av incidenter för övertagande av konton och använda dessa bevis för att driva införandet av mer nätfiske-resistenta metoder.