Översikt
Detta är en artikel om Tvingande flerfaktors-autentisering för fjärråtkomst och den andra prioriterade åtgärden som bör införas enligt min vägledning om ramverket CIS Critical Security Controls . Specifikt handlar den här artikeln om åtgärd 6.4.
Varje artikel i den här vägledningen följer det här upplägget:
- Inledning - Resonemang och förklaringar bakom åtgärden.
- Införande - Förklaring till hur du inför åtgärden, och eventuellt mer avancerade metoder för att införa åtgärden.
- Förbättra - Hur ska du gå tillväga för att kunna mäta, utveckla och förbättra den införda åtgärden.
För den ivrige läsaren kan du direkt hoppa till Införande och följa instruktionerna. Annars föreslår jag att du tar dig tid att läsa “allt”, det handlar trots allt bara om några minuter av läsning. Jag avslutar varje åtgärd med några förslag på hur du kan mäta åtgärdens effekt, sätt att utveckla åtgärden och göra den mer “fullständig” och genom det förbättra införandet och åtgärdens effekt.
Nyckelinsikter
- Flerfaktors-autentisering (MFA) är en grundläggande skyddsåtgärd, och du ska börja med att skydda din “huvudidentitet” (vanligtvis den du blivit tilldelad från jobbet, och ja, jobbet BÖR tvinga dig att använda en extra faktor.
- MFA spiller över på allt som skyddar av identiteten, och där finner vi ofta tjänsterna för fjärråtkomst.
- MFA är ingen silverbullet, tyvärr, men det är banne mig en bronzebullet som avsevärt ökar skyddet mot gissningsattacker eller stulna lösenord. Gör detta och frustrera de kriminella bortom rim och reson.
Inledning
En av de vanligaste metoderna för så kallad initial åtkomst är användandet av giltiga inloggningsuppgifter . Och giltiga inloggningsuppgifter kan en angripare få tag på genom flera olika metoder som att de t.ex. lyckas gissa lösenordet, de köper lösenordet från dark web osv. Kort och gott, dina inloggningsuppgifter kan lika gärna helt plötsligt vara angriparens inloggningsuppgifter. Varför anstränga sig och hacka, när man bara kan logga in?
Enligt vad säkerhetsföretaget Truesec erfar så kan en så stor andel som uppemot 30% av allvarliga angrepp börja med giltiga inloggningsuppgifter. Det är med andra ord, en viktig sak att försöka hantera det här med kontouppgifter.
Begreppen
Autentisering - Metoden för att bekräfta en påstådd identitet. Om du säger, jag är Johan Andersson, då säger jag, får jag se legitimationen tack? Du påstår en identitet, jag autentiserar din påstådda identitet genom att kontrollera din faktor (legitimationen, som jag litar på).
Flerfaktors-autentisering - Samma som ovan, men omfattar fler faktorer än bara en och inte samma som du redan uppvisat (något du kan). Du kanske utöver ett lösenord, även visar ett fingeravtryck.
Fjärråtkomst - Allting som möjliggör att du kan komma åt system, applikationer och dylikt oavsett plats, även om dessa saker du vill komma åt inte är tillgängliga ute på internet. Exempelvis möjliggör VPN detta, eller RDP.
Huvudidentitet - Okej, detta är en påhittad term, men den är relevant. Det konto du fått av ditt jobb, det är din “huvudidentitet”. Till den kopplas alla dina tjänster, applikationer och åtkomster. Den är som du säkert förstår, viktig och därför din … ja, huvudidentitet.
Förutsättningar
Målsättningen med den här åtgärden är att du ska skydda extra känsliga inloggningsuppgifter med ett extra steg, en andra verifiering av ditt konto. För att detta ska vara möjligt behöver givetvis den tjänst du vill skydda ha stöd för en andra faktor, och det är tyvärr inte alla som har det. Jag kommer lämna förslag på vad som oftast brukar fungera och således är en generellt sett bra start, mer om det i avsnittet införande.
Varför?
Som tidigare antytt i inledningen kan en angripare ofta ganska enkelt råka komma över inloggningsuppgifter och om det enda som då krävs är ett användarnamn och lösenord så är intrånget mer eller mindre avklarat.
Men genom att införa en andra faktor (därav namnet fler-faktors autentisering) förhindrar du att en angripare kan nyttja en stulen inloggningsuppgift eftersom busen saknar den andra faktorn.
Och när vi kopplar MFA mot vår huvudidentitet så får vi automatiskt skydd överallt där vi använder identiteten för att… identifiera oss. Det ger med andra ord ringar på vattnet. Fast dom här ringarna stannar kvar, och fortsätter att vara … ringar. Äsch den analogin fungerade inte. Men det är bra, ok?
När du t.ex. försöker logga in mot Tailscale (det ska jag prata mer om i åtgärd 6) kommer du använda din huvudidentitet, och är den skyddad med MFA så är således också din inloggning mot Tailscale skyddad. Smutt eller hur?
Vad skyddar det inte mot?
Skadlig kod. Har din dator redan infekterats med skadlig kod så är din dator att betrakta som komprometterad, eller på ren svenska - rökt.
Det finns också mer “avancerad” metoder som kallas Adversary-in-the-Middle som under vissa omständigheter kan lura dig att bli av med MFA-koder. Jag gör ett visst utlägg om detta i min artikel om Passkeys .
Observera också att MFA endast skyddar själva autentiseringsförfarandet. Det finns många tekniska om-och-men när autentiseringen är genomförd. Då kan din “session” kapas och vips så är det massa problem igen.
Men därför finns det cybersäkerhetskonsulter som kan hjälpa dig… fint va? Stäng en dörr, öppna femton andra!
Vad är MFA?
Läste du begreppen? Kort och gott, du ska bevisa att du är den du säger att du är. Du kan göra det genom att du uppger något du kan (lösenord, PIN), något du har (Time-based one-time passwords, TOTP) eller något du är (fingeravtryck, ansikte). Den troligen vanligaste metoden för MFA är … TOTP:ar. En ofta sex-siffrig kod du ska ange efter att du angivit ditt användarnamn och lösenord.
MFA är en åtgärd vars poäng är att göra det svårare för en angripare att missbruka en identitet, din identitet. Det blir svårare att logga in som du eftersom det inte längre räcker med lösenordet.
Införande
Ett införande av den här åtgärden är lite knepig eftersom jag inte vet exakt hur er infrastruktur ser ut. Jag kan således inte lämna exakta instruktioner för att aktivera MFA men jag föreslår därför istället några lämpliga första steg som ger dig möjligheten att aktivera MFA där du stöter på den.
Det vi ska göra är följande:
- Installera en MFA-applikation (Bitwarden Authenticator)
- Konfigurera skydd och backup.
Större företag?
Om företaget inte erbjuder MFA är det bättre att skydda dina kontouppgifter själv, så inför åtgärden där du kan. Utmaningen för större företag är ofta att MFA-hanteringen kanske helst ska vara central med allt vad det innebär. Den föreslagna åtgärden lämpar sig inte för större företag eftersom den helt saknar central hantering.
Steg 1 - Installera Bitwarden Authenticator
Det första du ska göra är att navigera till Bitwardens hemsida och ladda ner den version av applikationen som passar dig för Android eller det där andra.
Installera appen, traggla dig igenom introduktionen. Navigera till Settings och aktivera Unlock with Biometrics, en liten extra åtgärd för att skydda uppgifterna i appen.
Steg 2 - Skydda ett konto
Om du inte redan har gjort det så skulle jag föreslå att det första du nu skyddar är din “huvudidentitet”. Många företag använder t.ex. Microsoft eller Google för att tillhandahålla och hantera identiteter.
Skydda Microsoft konto
Microsoft - För Microsoft konton loggar du in här
. När du har loggat in ska du leta upp Additional Security och specifikt Two-step verification där du ska trycka Turn on.
Läs instruktionerna, tryck Next, och låt dig inte luras av att Microsoft försöker tvinga in dig att installera deras Authenticator app, tryck set up a different Authenticator app.
Starta Bitwarden Authenticator, logga in med biometri (om du aktiverade det), tryck + och scanna QR-koden som står på skärmen. När scanningen är klar kommer du se en 6-siffrig kod för Microsoft och den anger du i rutan under QR-koden du precis scannade.
Klart.
Skydda Google konto
Google - Och för Google konton loggar du in här
. Väl inloggad har du ett meny-alternativ Security och leta dig fram till 2-Step Verification.
Följ instruktionerna för Authenticator vilket är… ungefär identiskt med vad du behöver göra för Microsoft.
Klart, livet är fint.
Steg 3 - Skydda fjärråtkomst
Nu har du lagt grunden för att skydda fjärråtkomst-tjänster vilket vi kommer att införa som åtgärd lite senare, nämligen åtgärd 6 i min top-7 prioriterade lista av åtgärder.
Men essensen är att när du skyddar din huvudidentitet så skyddar du inloggningen för fjärråtkomst (för många tjänster). Det finns självklart de applikationer och system som inte är kopplade till din huvudidentitet och där du har ett separat användarnamn och lösenord, och kanske genom det begränsade möjligheter att skydda din identitet.
Mäta och förbättra
Det finns inte jättemycket att mäta här, men några saker finns det. Först och främst är det självklart intressant att kontrollera om du har några misslyckade inloggningar på kontot som du VET inte är du. Det innebär att ditt lösenord är på vift och någon faktiskt försökt använda det. Har du nu infört MFA behöver du inte oroa dig, ditt konto är säkert (troligen).
Det finns några givna förbättringar du kan göra och det är att aktivera Passkeys, men det är fortfarande något av en mer avancerad åtgärd. Inte för att det egentligen är svårt att aktivera, men det finns lite om och men som du bör vara medveten om, därför är detta istället ett sätt att förbättra inloggningen vid ett senare skede.
Avslutande ord
Först och främst skyddar vi din “huvudidentitet” med MFA, det är kanske den absolut viktigaste åtgärden du kan göra avseende MFA. Och nu eftersom du har en MFA-applikation har du också möjlighet att börja skydda inloggningar på tredje-parts applikationer och sajter där du inte kan använda din huvudidentitet.