Multifaktorautentisering (MFA) är en säkerhetsmetod som kräver att en användare verifierar sin identitet med två eller fler faktorer innan de får åtkomst till ett system eller en tjänst. MFA gör det svårare för obehöriga att få åtkomst, eftersom det inte räcker med att bara ange ett användarnamn och lösenord.
På denna sida förklarar vi vad multifaktorautentisering är, varför det är viktigt, hur det fungerar och hur du implementerar det i din verksamhet.
> Huvudfaktorer i MFA
> Så fungerar MFA i praktiken
> Verifiering i flera steg
> MFA som komponent i Zero Trust
> MFA med SSO
> Så implementerar du MFA
> Vanliga frågor och svar
Så lyckas du med Multifaktorautentisering (MFA)
Läs om hur du inför MFA i företagets IT-miljö.
Ladda hem direkt
Tre huvudtyper av faktorer i MFA
Det finns tre huvudtyper av faktorer som kan användas multifaktorautentisering
Något du vet – till exempel ett lösenord eller PIN-kod.
Något du har – till exempel en mobiltelefon, en säkerhetsnyckel eller en kodgenerator.
Något du är – till exempel biometriska data som fingeravtryck, ansiktsigenkänning eller irisavläsning.
För att få åtkomst till ett system måste användaren kunna bevisa sin identitet med minst två av dessa faktorer. Detta gör det mycket svårare för angripare att komma åt system, även om de skulle ha lyckats få tag på ett lösenord.
Steg 1
Användaren anger sitt lösenord
Den första faktorn i MFA är något som användaren vet, vanligtvis ett lösenord eller en pinkod. Det är den traditionella metoden för autentisering som de flesta är bekanta med. Användaren skriver in sitt lösenord på en webbplats eller i en app för att påbörja inloggningen.
Steg 2
Ett extra autentiseringssteg
Efter att användaren har angett sitt lösenord kommer nästa steg i MFA-processen – en andra faktor. Detta kan vara en av flera metoder, beroende på vilken typ av MFA-lösning som används. Några vanliga exempel på andra autentiseringelement är:
• Autentiseringsappar (TOTP-baserade)
• Push-notiser via autentiseringsappar
• Hårdvarunycklar (USB eller Bluetooth)
• Biometrisk inloggning, till exempel fingeravtryck
• Passkeys – lösenordsfria metoder som vinner mark
Steg 3
Tillgång beviljas eller nekas
Först när alla autentiseringsfaktorer har angetts korrekt får användaren åtkomst till sitt konto eller system. Om en av faktorerna inte stämmer, till exempel om fel kod har angetts eller om biometrin inte matchar, nekas åtkomst. Användaren kan då bli ombedd att försöka igen, eller att återställa sitt lösenord.
Multifaktorautentisering har blivit en standardlösning för att minska säkerhetsriskerna, då en verifiering i flera steg med MFA gör det mycket svårare för angripare att få tillgång till ett konto. En av de vanligaste orsakerna till säkerhetsintrång är förlorade användarnamn och lösenord. Risken ökar också kraftigt när samma lösenord och användarnamn används för flera IT-tjänster. Kommer den här typen av information på villovägar är det lätt för en angripare att snabbt komma åt och testa lösenorden på flera ställen, och utan problem hitta en koppling.
MFA är effektivt för att det:
Skyddar om lösenordet stjäls
Om en angripare får tag på ett lösenord krävs autentiseringsfaktorer för att slutföra inloggningen. Vid dataintrång kan en angripare inte komma åt kontot utan fler autentiseringsmetoder. Enbart läckta lösenord räcker inte.
Minskar riskerna vid phishing
Eftersom MFA förlitar sig på mer än ett lösenord, skyddar metoden även om användaren råkar lämna ut sitt lösenord vid en phishing-attack.
Skyddar mot brute-force-attacker
Att knäcka ett lösenord genom brute-force är svårt nog. Kombinerat med en annan autentisering, till exempel en engångskod, blir det nästan omöjligt för angripare att komma åt kontot.
SMS-baserad MFA ger inte tillräckligt skydd
SMS har tidigare varit en vanlig metod för multifaktorautentisering men ur ett modernt säkerhetsperspektiv anses det inte längre ge tillräckligt skydd. Här är några anledningar till varför:
• Sårbarheter i mobilnät. SMS kan avlyssnas eller omdirigeras genom attacker.
• Ingen end-to-end-kryptering. Meddelandet kan potentiellt läsas av en tredje part.
• Phishing och social engineering. Användare kan luras att lämna ut SMS-koder till angripare.
• Ökad reglering och branschpraxis. Ramverk som NIST (USA:s standardiseringsorgan) och riktlinjer från ENISA i EU rekommenderar att man undviker SMS-baserad MFA i känsliga miljöer.
MFA är en av de viktigaste säkerhetsåtgärderna för att stärka autentiseringen i en Zero Trust-modell eftersom multifaktorautentiering gör det betydligt svårare för en angripare att få otillbörlig åtkomst.
Så fungerar MFA i Zero Trust
Kontinuerlig autentisering
I en Zero Trust-modell ses autentisering inte som en engångshändelse. Beroende på åtkomstnivå eller systemets känslighet kan en användare, även efter en framgångsrik inloggning, behöva verifiera sin identitet flera gånger. MFA säkerställer att varje åtkomstförsök verifieras ordentligt för att obehöriga inte ska komma åt resurser.
Skydd mot lita inte på något, verifiera allt
Zero Trust handlar om att inte lita på något, även om användaren är intern eller har ett korrekt lösenord. Med MFA läggs ett extra lager av säkerhet eftersom det hindrar obehöriga från att få åtkomst om de inte kan bevisa sin identitet på flera sätt.
Skyddar mot brute-force-attacker
Att knäcka ett lösenord genom brute-force är svårt nog. Kombinerat med en annan autentisering, till exempel en engångskod, blir det nästan omöjligt för angripare att komma åt kontot.
Att kombinera Single Sign-On (SSO) med multifaktorautentisering (MFA) är en kraftfull strategi för att både förenkla inloggningsprocessen och höja säkerheten. Men det innebär också en säkerhetsparadox. Om SSO blir komprometterat kan det ge angriparen tillgång till hela användarens systemlandskap – trots MFA. För att uppfylla kraven på Zero Trust-krav måste det därför kombineras med kontinuerlig verifiering och riskbaserad kontroll.
SSO + MFA – två byggstenar men inte hela lösningen
SSO innebär att användaren autentiserar sig en gång för att få åtkomst till flera applikationer. I kombination med MFA höjs tröskeln för angripare markant. Samtidigt krävs MFA ofta endast vid inloggning, därefter anses sessionen vara ”säker”. Det skapar risker vid långvariga sessioner, stulna access tokens, eller ändrade beteendemönster. Att logga in korrekt en gång är därför inte tillräckligt, Zero Trust kräver mer.
Kontinuerlig verifiering och riskbaserad åtkomst
Moderna MFA-lösningar som Cisco Duo erbjuder policybaserad åtkomstkontroll, där risknivån på inloggningen bedöms kontinuerligt. En dynamisk MFA aktiveras inte bara vid inloggning, utan också baserat på risk eller kontext. Några exempel på vad moderna plattformar erbjuder idag är:
• Session monitoring: övervakning av användarbeteende för att upptäcka avvikelser
• Device Trust: krav på att enheten är hanterad, krypterad och uppdaterad
• Just-In-Time Access: tillfälliga åtkomster istället för statiska rättigheter
• Least Privilege: minimal behörighet utifrån roll och uppgift
Cisco Duo
En komplett MFA-lösning för Zero Trust
Cisco Duo, som även levereras som tjänst av Conscia, är en populär och lättanvänd MFA-lösning. Den erbjuder tvåfaktorsautentisering (2FA), enhetskontroll och andra funktioner som är centrala för att skapa en säker miljö med Zero Trust. Med Cisco Duo är det möjligt att säkra åtkomsten till applikationer och resurser genom att verifiera användares identitet och säkerställa att de enheter som ansluter till systemet är betrodda.
Cisco Duo är känt för sitt användarvänliga gränssnitt och smidiga inloggning. Autentisering sker med hjälp av en enkel push-notis i mobilen, eller genom att ange en engångskod i en autentiseringsapp.
Några exempel på andra funktioner i Cisco Duo är:
Omfattande enhetskontroll
Ssäkerställer att endast betrodda enheter får åtkomst till organisationens resurser. Enheter kan granskas för att säkerställa att de är uppdaterade, säkra och har rätt säkerhetsåtgärder, som antivirusprogram och kryptering.
Integrering med olika system
Cisco Duo integreras enkelt med ett brett utbud av appar och tjänster, inklusive molntjänster som Google Workspace, Microsoft 365, och Salesforce, samt lokala system och VPN-lösningar. Den kan även användas med alla enheter och plattformar, som Windows, macOS, Android och iOS.
Stöd för både MFA och autentisering utan lösenord
För organisationer som vill ta bort lösenord helt och hållet erbjuder Cisco Duo stöd för passordlös autentisering (FIDO2/WebAuthn). Det möjliggör autentisering med biometriska data eller säkerhetsnycklar.
Steg 1
Välj rätt MFA-lösning
Det finns många MFA-lösningar, både som fristående system och som en del av andra säkerhetslösningar. Några av de vanligaste metoderna är autentiseringsappar som Google Authenticator eller Microsoft Authenticator, samt hårdvarunycklar som Yubikey.
Steg 2
Bestäm vilka system som kräver MFA
Identifiera de mest kritiska systemen och tjänsterna i din verksamhet. Säkerställ att MFA används för autentisering på alla dessa resurser. Det kan vara allt från e-postkonton och affärssystem, till molntjänster och interna nätverk.
Steg 3
Utbilda dina användare
För att MFA ska vara effektivt är det viktigt att alla i organisationen förstår varför det är viktigt och hur de använder det korrekt. Genom att utbilda dina anställda hur MFA fungerar, varför och hur det skyddar deras data, minskar risken för misstag och felaktig användning.
MFA är en säkerhetsmetod som kräver minst två verifieringsfaktorer för att bekräfta användares identitet. Genom att göra det svårare för obehöriga att få tillgång till system och data ökar säkerheten.
2FA är en specifik form av autentisering med krav på två faktorer för åtkomst. MFA är en metod som kan kräva två eller fler faktorer. Det möjliggör högre säkerhetsnivå än när fler faktorer används.
MFA är centralt för Zero Trust, då metoden inte bara verifierar en användare vid inloggning utan säkerställer att alla användare och enheter verifieras vid varje åtkomstförsök oavsett plats.
Några vanliga verifieringsmetoder utöver lösenord är biometrisk inloggning, engångslösenord, push-notiser via autentiseringsappar, hårdvarunycklar samt ”Passkeys”, lösenordsfria metoder.
MFA är särskilt viktigt för företag som hanterar känslig information, stora mängder data, eller har höga säkerhetskrav, t.ex. bank och finans och offentliga verksamheter.
Rätt implementerad MFA är säker utan krångel. Att integrera MFA med Single Sign-On (SSO) ökar användarupplevelsen. Med kontinuerlig verifiering och riskbaserad kontroll uppfylls kraven för Zero Trust.
