Inloggning, inloggning, inloggning. Alltid denna krångliga autentisering. Men Conscias säkerhetsarkitekt Mikael Gustafsson har sett ljuset och det heter Duo Security. Här berättar han vad det handlar om.
För att travestera en känd politiker kan man säga att ”inloggningar är ett jävla skit, men nu har vi baxat dem ända hit”.
Allvarligt talat, inloggningar medför problem. De är för krångliga, för dåliga, de kostar för mycket att hantera, och så vidare. Och, inte minst, det finns för många olika typer som måste hanteras parallellt. Många människor har problem med att hantera lösenord på ett säkert sätt. Typexemplet på det är lapparna med lösenord som man kan hitta under många tangentbord på landets kontor.
Men det mest skriande problemet torde vara att lösenord inte alltid alltid uppfyller sitt syfte, de är helt enkelt för ”svaga”. Universallösningen på det problemet är att använda multifaktorautentisering (MFA). Eller för att tala klartext, en inloggning består av flera, till exempel ett lösenord och en kod som skickas med SMS (vilket av många anses som en dålig lösning). Eller ett lösenord och en koddosa, och så vidare.
En aspekt som det är lätt hänt att glömma bort är att kraven på starka, och samtidigt enkla, lösningar för inloggning ökar. Det beror inte minst på att fler applikationer, och molntjänster, kan beskrivas som affärskritiska i dag än för några år sedan. Det här hänger naturligtvis ihop med den rådande starka digitaliseringstrenden. Även regleringar av typen GDPR spelar en stor roll, det blir allt viktigare att hantera känslig information på ett säkert sätt.
Nu har Cisco presenterat en lösenordslösning som har stor potential, efter ett förvärv av företaget Duo Security för ett år sedan. Lösningen går under benämningen Duo Security och hanterar ett stort utbud av olika tekniklösningar, till exempel för tvåfaktorautentisering (2FA), sårbarhetsanalyser för bland annat nätfiske, med mera. Säker autentisering är alltså en integrerad del av en större säkerhetslösning.
Bland tekniker för inloggning som hanteras märks hårdvarulösningar (hardware tokens) som koddosor, lösenord som skickas till mobiler, SMS-lösningar, återuppringning till telefon och biometri, som fingeravtryck à la Touch ID.
2FA – en del av Zero Trust
Det här är väl inget nytt, tänker du säkert? Nej, inte i princip. Det nya är dels hur lösningen har designats, dels att den är en väl genomtänkt del av en mer omfattande säkerhetsstrategi (Cisco Trusted Access). Det är Ciscos variant av den etablerade säkerhetsstrategin Zero Trust (ladda gärna ned ett white paper om strategin som Conscia erbjuder i samarbete med Duo Security):
Säker inloggning oavsett leverantör eller placering
Värt att notera vad gäller designen är att Duo Security inte är knutet till vissa leverantörers mjukvaror, hårdvaror eller andra resurser. Det är ofta här det brister: en inloggningslösning från företag X fungerar bra med de egna produkterna, men inte med andra leverantörers produkter. Duo Security erbjuder ett mycket stort antal varianter för integration med applikationer, molntjänster och andra resurser.
Ett brett stöd förenklar på många olika sätt, kanske främst genom att antalet parallella lösningar för inloggning kan minimeras. Det breda stödet fås genom den grundläggande designen för Duo Security, genom användning av ”reversed proxy”, vilket är något som är relativt enkelt att implementera. Ett annat tecken på flexibilitet är det breda stödet för olika inloggningsmetoder, vilket gör att styrkan på inloggningslösningen kan optimeras för varje användningsfall.
Allra mest tänkvärt i dagsläget är kanske att Duo Security fungerar bra både för lokala installationer (on prem) och molntjänster. Många inloggningslösningar på marknaden är specialiserade på det ena, eller det andra. Återigen, behovet av flera parallella lösningar för inloggning minimeras.
Från IT-avdelningens perspektiv vill jag lyfta fram enkel och genomtänkt administration, med tillhörande verktyg. Följderna av det är uppenbara. billigare drift, färre problem och att IT-personalen kan ägna sig åt mer sofistikerade arbetsuppgifter än att röja upp i lösenordsträsket.
Även policyhanteringen, baserad på flexibla regler, är värd att nämna. Det handlar om hantering av ett stort antal olika typer av policy för både användare och enheter.
Men allra viktigast är så klart enkel autentisering för slutanvändarna. Och vad är egentligen viktigare för IT-personalen, inklusive CIO, IT-chef och CTO, än att ha glada användare? Dels borde det vara ledstjärnan i arbetet, dels blir tillvaron behagligare.
Hur fungerar autentisering med Duo Security?
Så hur fungerar Duo Security? Här är ett exempel på användning:
- Användaren loggar i vanlig ordning in till en applikation med användarnamn och lösenord. Därefter skickas ett pushmeddelande till användarens mobil, som denne måste svara på för att godkänna sin inloggning. I stället för ett meddelande till en mobil kan man täcka sig verifiering med till exempel fingeravtryck eller ansiktsigenkänning.
- Därefter autentiseras den klientenhet användare loggar in från, för att kontrollera om den är godkänd för användning enligt den policy som finns. Ett exempel på avslag kan vara att klientenheten inte har den senaste uppdateringen som krävs. I så fall får användaren uppdatera enheten och logga in på nytt. Inloggning
- I de fall som det är lämpligt hanteras VPN (virtuella privata nätverk), molntjänster (SaaS), med flera varianter. Det finns inbyggt stöd för de mest populära alternativen.
Det pratas ofta om ”lösenordens död”. Det är struntprat, det är ingen rimlig strategi. Jag pratar hellre om bättre lösenord, vilka fås med smart multifaktorautentisering. Jag är verkligen förväntansfull vad gäller genomslaget för Duo Security.
/Mikael Gustafsson, CISSP/CCIE, Conscia
Är det dags för en IT-säkerhetsgenomlysning? Eller kan vi bistå med svar på frågor kring inloggning? Kontakta oss
Mikael Gustafsson, CCIE Security #51822, CISSP, är senior nätverks- och säkerhetskonsult på Conscia Netsafe. Mikael har 15 års erfarenhet som konsult inom nätverks- och säkerhetsområdet på stora bolag och offentliga organisationer. Mikael skriver på IDG Expert och även Conscia Netsafes blogg (exempelvis här och här).