Duo Security – Multifaktorautentisering av Henrik Skovfoged, Conscia.
Cisco har just avslutat förvärvet av ett nytt företag i sin säkerhetsportfölj, Duo Security. Duo Security erbjuder multifaktorautentisering (MFA) och har en produkt vi ser fram emot eftersom den passar väl in i Ciscos säkerhetsportfölj.
Under de senaste åren har tendensen varit att användarna ständigt får fler och fler mobila enheter, fler molntjänster och därmed också önskar få tillgång till sina applikationer och data från alla enheter och vid alla tider på dygnet. Detta har ökat produktiviteten och förbättrad smidigheten, och också ökat användarnas krav. Myntets baksida är att säkerheten måste ökas eftersom data och applikationer inte längre enbart är placerade på företagets domän, utan även i molnet.
Det har länge varit rekommenderat att använda tvåfaktorautentisering (2FA) för att förbättra säkerheten. Även om användarens lösenord skulle äventyras finns det då ännu en faktor som krävs för att godkänna åtkomst. Denna extra faktor kan vara en hårdvarutoken, biometriska egenskaper (till exempel Apple FaceID), etc.
Duos uppdrag har varit att säkra användarnas åtkomst, och att göra detta på ett användarvänligt sätt, men också på ett lättadministrerat sätt.
Lösningen har tre delar:
- Bekräftelse av användaren. Efter att användaren har angett användarnamnet och lösenordet får användaren en push-meddelande till sin mobil som ska godkännas före åtkomst. För mer kritiska tillämpningar kan exempelvis begränsningar införas utifrån användarens plats, TouchID, FaceID och andra faktorer på mobilen.
- Autentisering av användarens enhet. Duo Security säkerställer att enheten uppfyller företagets policy eller om enheten exempelvis måste uppdateras först. Uppdaterade enheter är mindre sårbara för skadlig programvara.
- Skydd av alla applikationer genom att stödja VPN, SaaS-applikationer med fjärråtkomst etc. Duo tillhandahåller stöd för de mest använda applikationerna.
Risken har länge funnits (som nyligen uppmärksammats i Computer Sweden) att bristande säkerhet hos teleoperatörerna låter en angripare vidarebefordra ditt mobilnummer till sin mobil för att sedan få rätt kod när tvåfaktorautentisering med sms används. Det är då värt att notera att inte bara Google (med Authenticator) utan även Duo (med Duo Push) har appar att installera på mobilen som förhindrar detta.
På Conscia Netsafe ser vi fram emot Duos integration i Ciscos säkerhetsportfölj. Vi ser Duo Security multifaktorautentisering som mycket konkurrenskraftigt jämfört med de andra lösningar som finns tillgängliga på marknaden.
Är Du intresserad av att höra mer om Duo Security – hör av dig!
Henrik Skovfoged har en kandidatexamen i revision och en master i IT. Han är Certified Information Systems Security Professional (CISSP) och Certified Information Systems Auditor (CISA) och har under många år arbetat med IT-säkerhet, både ur tekniskt och ur processperspektiv. Henrik anser att IT-säkerhet direkt skall bidra med värde till verksamheten på samma sätt som IT gör det.
