Når er det krav om sterkere autentisering (for eksempel to-faktor) enn bare brukernavn og passord?

Vi stiller krav til sterk autentisering når en person har tilgang til et informasjonssystem med sensitive personopplysninger og/eller personopplysninger om mange over eksterne nett. Dersom uvedkommende klarer å skaffe seg et brukernavn og passord, vil det uten flere hindre være mulig å logge seg på informasjonssystemet fra hvor som helst. Det kan de gjøre når som helst.

Brukernavn er ofte statisk og lett å gjette seg til. Passord er også mulig å finne ut av. Uten et tiltak i tillegg til brukernavn og passord, er opplysningene ikke godt nok sikret. Sterk autentisering gjør det vanskeligere for noen som får tak i brukernavn og passord å skaffe seg tilgang til systemet.

Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS, i tillegg til brukernavn og passord. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til informasjonssystemet.