Bruk av sterk autentisering
Sterk autentisering er som hovedregel en form for autentisering med flere faktorer.
Sterk autentisering er som hovedregel en form for autentisering med flere faktorer.
Faktorene i sterk autentisering er:
Tofaktorautentisering er veldig vanlig og noe de fleste kjenner fra bruk av bankkort. Her benytter man noe man har (bankkort) og noe man vet (pinkode).
Et annet eksempel er Bank ID. Ved bruk av Bank ID logger man seg inn på en tjeneste med noe man vet som brukernavn og passord og en kode Bank ID som er noe man har.
Disse løsningene og faktorene kommer i flere varianter.
Hvis noen ser at du skriver inn brukernavn og passord, ligger alt til rette for at den samme personen kan utgi seg for å være deg og logge på med de samme opplysningene. Det er da en fare for at denne personen kan få tilgang til dine personopplysninger, personopplysninger om andre, og dokumenter som er beskyttelsesverdige for din arbeidsplass. Denne personen kan også gjøre endringer i ditt navn eller utgi seg for å være deg i kommunikasjon med andre.
Mange tjenester baserer seg kun på noe man vet i form av et brukernavn og passord. Svært mange bruker også samme passord på flere ulike tjenester. Noe som gjør deg som bruker enda mer utsatt for at andre logger seg inn som deg på ulike tjenester.
Ofte vil en tjeneste stille krav til kompleksiteten av passordet slik som krav om minimumslengde, krav om bruke av tall, små og store bokstaver, og eventuelt spesialtegn. Dette kan redusere muligheten til å gjette passord, men brukere har en tendens til å bruke samme type mønster. Sommer2017 er en type passord som mange dessverre bruker. Det er også vanlig at brukere gjenbruker det samme passordet på flere tjenester.
Hvis passordet skulle komme på avveier, har det ingen betydning hvor sterkt/komplekst passordet er. Det er dessverre mange måter et passord kan komme på avveier på. For eksempel lekkasje fra andre steder hvor brukeren benytter samme passord, skadevare på pc-en til brukere som plukker opp brukernavn og passord, «Man in the middle»-angrep og phising-angrep.
Derfor er tofaktorautentisering en mye sikrere løsning. Ved bruk av slik autentisering vil konsekvensene av at brukernavn og passord kommer på avveier være langt mindre.
I Norge har vi sett eksempler på at både politiske partier og skoler har erfart at noen har tilegnet seg uautorisert tilgang på systemer grunnet mangel på sterk autentisering.
Datatilsynet kan pålegge bruk av sterk autentisering hvis vi vurderer at det er nødvendig for å ivareta sikkerheten.
Når det kommer til kravene i personvernregelverket så baseres sikkerhetstiltakene seg på risikovurderingen. Det samme vil gjelde her og det må gjøres en konkret vurdering av den aktuelle tjenesten. Det er verdt å merke seg at kravene til behandling av sensitive personopplysninger er høye. Derfor skal bruk av sterk autentisering vurderes som at av sikkerhetstiltakene.
Et typisk eksempel for hvor det vil kreves sterk autentisering er når en person har tilgang til et informasjonssystem med sensitive personopplysninger og/eller personopplysninger om mange over eksterne nett.
Det finnes flere løsninger for sterk autentisering. Datatilsynet legger ingen føringer for hvilken løsning man velger å bruke, så lenge sikkerheten blir ivaretatt.
Sikkerheten i løsninger for tofaktor varierer, man må derfor vurdere løsningen man ønsker å benytte konkret.
Nasjonal sikkerhetsmyndighet (NSM) har laget veiledning i sikring av e-post.
National Institute of Standards and Technology (NIST) stiller også krav om verifikasjon av endepunktet i sin veiledning om autentisering.