Multifaktorautentificering

Multifaktorautentificering (MFA) er en autentificeringsmetode, der kræver to eller flere uafhængige verificeringsfaktorer for at give adgang til et system. MFA er en af de mest effektive og omkostningseffektive sikkerhedsforanstaltninger mod kontoovertag og blokerer over 99% af automatiserede angreb.

Tilbage til ordbog

Hvad er MFA?

Multifaktorautentificering (MFA), også kaldet to-faktor-autentificering (2FA) når det drejer sig om præcist to faktorer, er en sikkerhedsmetode, der kræver, at brugeren beviser sin identitet på to eller flere uafhængige måder, inden adgang gives.

Den store fordel ved MFA er, at selv hvis en angriber kender eller stjæler en brugers adgangskode, kan de stadig ikke logge ind uden at have adgang til den anden faktor. Microsoft angiver, at MFA blokerer over 99,9% af automatiserede angreb på konti.

De tre autentificeringsfaktorer

Autentificering baserer sig på tre kategorier af faktorer:

Noget du ved: Adgangskode, PIN eller svar på sikkerhedsspørgsmål.
Noget du har: Smartphone (autentificeringsapp, SMS-kode), hardwarenøgle (YubiKey), chipkort.
Noget du er: Fingeraftryk, ansigtsgenkendelse, iris-scan (biometri).

For at udgøre ægte multifaktorautentificering skal der kombineres faktorer fra mindst to af disse kategorier. En adgangskode plus en PIN er ikke MFA, da begge er 'noget du ved'.

Typer af MFA

De mest udbredte MFA-metoder er:

Autentificeringsapp (TOTP): Apps som Microsoft Authenticator eller Google Authenticator genererer tidsbaserede engangskoder. Betragtes som mere sikker end SMS.
SMS-koder: Engangskoder sendt via SMS. Udbredt, men sårbar over for SIM-swap-angreb.
Push-notifikationer: Autentificeringsapp beder om godkendelse via en notifikation.
Hardwarenøgler (FIDO2/WebAuthn): Fysiske USB/NFC-nøgler. Den stærkeste og phishing-resistente MFA-metode.
Biometri: Fingeraftryk og ansigtsgenkendelse, typisk brugt på mobile enheder.

Prioritér MFA til privilegerede konti: Hvis der skal prioriteres, bør MFA allerførst aktiveres for administratorkonti, e-mailkonti og systemer med adgang til følsomme data. Disse konti er de mest attraktive mål for angribere.

Hvornår er MFA krævet?

MFA er eksplicit krævet i flere regulatoriske sammenhænge: PSD2 kræver stærk kundeautentificering ved betalinger, NIS2 og DORA stiller krav om stærk autentificering til kritiske systemer, og ISO 27001 Annex A kontrol 8.5 om sikker autentificering peger mod MFA som bedste praksis. GDPR kræver "passende" sikkerhed, og for systemer med personoplysninger betragtes MFA i stigende grad som en nødvendighed.

Ofte stillede spørgsmål om multifaktorautentificering

Hvad er multifaktorautentificering (MFA)?

MFA er en autentificeringsmetode, der kræver to eller flere uafhængige verificeringsfaktorer – fra forskellige kategorier som noget du ved, noget du har og noget du er – inden der gives adgang til et system.

Hvad er de tre autentificeringsfaktorer?

De tre kategorier er: noget du ved (adgangskode, PIN), noget du har (smartphone, hardwarenøgle) og noget du er (fingeraftryk, ansigtsgenkendelse). Ægte MFA kræver faktorer fra mindst to forskellige kategorier.

Hvilken MFA-metode er den mest sikre?

Hardware-sikkerhedsnøgler med FIDO2/WebAuthn betragtes som den stærkeste MFA-metode, fordi de er phishing-resistente – de kan ikke narres af falske login-sider. Autentificeringsapps (TOTP) er den næstmest sikre mulighed.

Kræver GDPR MFA?

GDPR kræver ikke eksplicit MFA, men kræver 'passende' tekniske og organisatoriske foranstaltninger. For systemer, der behandler personoplysninger, betragtes MFA i stigende grad som en nødvendig sikkerhedsforanstaltning af databeskyttelsesmyndighederne.

Hvilke konti bør have MFA aktiveret først?

Administratorkonti, e-mailkonti og systemer med adgang til følsomme data bør prioriteres til MFA, da disse er de mest attraktive mål for angribere og de mest skadelige ved kompromittering.