Bruk av sterk autentisering

Bruk av sterk autentisering

Sterk autentisering er som hovedregel en form for autentisering med flere faktorer. 

Faktorer er:

  1. noe man vet (for eksempel passord),
  2. noe man har (for eksempel bankkort), eller 
  3. noe man er (for eksempel fingeravtrykk). 

To- faktor-autentisering er veldig vanlig og noe de fleste kjenner fra bruk av bankkort. Her benytter man noe man har (bankkort) og noe man vet (pinkode).

Et annet eksempel er Bank ID. Ved bruk av Bank ID logger man seg inn på en tjeneste med noe man vet som brukernavn og passord og en kode Bank ID som er noe man har.

Disse løsningene og faktorene kommer i flere varianter.

Hvorfor trenger man sterk autentisering?

Hvis noen ser at du skriver inn brukernavn og passord, ligger alt til rette for at den samme personen kan utgi seg for å være deg og logge på med de samme opplysningene. Det er da en fare for at denne personen kan få tilgang til dine personopplysninger, personopplysninger om andre, og dokumenter som er beskyttelsesverdige for din arbeidsplass. Denne personen kan også gjøre endringer i ditt navn eller utgi seg for å være deg i kommunikasjon med andre.

Mange tjenester baserer seg kun på noe man vet i form av et brukernavn og passord. Svært mange bruker også samme passord på flere ulike tjenester. Noe som gjør deg som bruker enda mer utsatt for at andre logger seg inn som deg på ulike tjenester.

Ofte vil en tjeneste stille krav til kompleksiteten av passordet slik som krav om minimumslengde, krav om bruke av tall, små og store bokstaver, og eventuelt spesialtegn. Dette kan redusere muligheten til å gjette passord, men brukere har en tendens til å bruke samme type mønster. Sommer2017 er en type passord som mange dessverre bruker. Det er også vanlig at brukere gjenbruker det samme passordet på flere tjenester.

Hvis passordet skulle komme på avveie har det ingen betydning hvor sterkt/komplekst passordet er. Det er dessverre mange måter et passord kan komme til avveie på. For eksempel lekkasje fra andre steder hvor brukeren benytter samme passord, skadevare på pc-en til brukere som plukker opp brukernavn og passord, «Man in the middle»-angrep og Phising-angrep.

Derfor er tofaktor-autentisering en mye sikrere løsning. Ved bruk at tofaktor-autentisering vil konsekvensene av at brukernavn og passord kommer på avveie være langt mindre.

I Norge har vi sett eksempler på at både politiske partier og skoler har erfart at noen har tilegnet seg uautorisert tilgang på systemer grunnet mangel på sterk autentisering.

Datatilsynet kan pålegge bruk av sterk autentisering hvis vi vurderer at det er nødvendig for å ivareta sikkerheten.

Når trenger man sterk autentisering?

Når det kommer til kravene i personvernregelverket så baseres sikkerhetstiltakene seg på risikovurderingen. Det samme vil gjelde her og det må gjøres en konkret vurdering av den aktuelle tjenesten. Det er verdt å merke seg at kravene til behandling av sensitive personopplysninger er høye. Derfor skal bruk av sterk autentisering vurderes som at av sikkerhetstiltakene.

Et typisk eksempel for hvor det vil kreves sterk autentisering er når en person har tilgang til et informasjonssystem med sensitive personopplysninger og/eller personopplysninger om mange over eksterne nett.

Her er eksempler på at Datatilsynet har pålagt bruk av sterk autentisering i enkelte saker:

Hvilken løsning skal man velge?

Det finnes flere løsninger for sterk autentisering. Datatilsynet legger ingen føringer for hvilken løsning man velger å bruke, så lenge sikkerheten blir ivaretatt.

Sikkerheten i løsninger for tofaktor varierer, man må derfor vurdere løsningen man ønsker å benytte konkret. Eksempelvis trekkes epost og SMS frem som svake løsninger i Nasjonal sikkerhetsmyndighet (NSM) sin veiledning.

National Institute of Standards and Technology (NIST) stiller også krav om verifikasjon av endepunktet i sin nyeste veiledning om autentisering.

Det finnes kjente tilfeller hvor tofaktor-løsninger basert på SMS har blitt utnyttet. Et veldokumentert tilfelle var i et angrep mot en bank i Tyskland.