Multifaktorautentisering

Från Wikipedia
Hoppa till navigering Hoppa till sök

Multifaktorautentisering (MFA) är en metod för åtkomstkontroll där användare endast beviljas åtkomst efter att framgångsrikt ha presenterat flera separata bevis för en autentiseringsmekanism – vanligtvis inom minst två av följande tre kategorier: kunskap (något de vet), innehav (något de har) och inneboende (något de är).

Tvåfaktorsautentisering (även känd som 2FA) är ett sätt att bekräfta användarens begärda identitet genom att använda en kombination av två olika komponenter. Tvåfaktorsautentisering är en typ av multifaktorautentisering.

Ett exempel från vardagen är att ta ut pengar från en bankomat: Bara den korrekta kombinationen av ett bankkort (något som användaren har) och en PIN-kod (personligt identifieringsnummer, något som användaren vet) gör att transaktionen kan utföras.

Autentiseringsfaktorer[redigera | redigera wikitext]

Användningen av flera autentiseringsfaktorer för att bevisa en identitet baseras på förutsättningen att en obehörig aktör sannolikt inte kommer att kunna tillhandahålla de faktorer som krävs för åtkomst. Om, i ett autentiseringsförsök, åtminstone en av komponenterna saknas eller levereras felaktigt, är användarens identitet inte etablerad med tillräcklig säkerhet och åtkomst till tillgången (t.ex. en byggnad eller data) som skyddas av multifaktorautentisering förblir blockerad. Autentiseringsfaktorerna för ett multifaktors autentiseringsschema kan innefatta:

Ett visst fysiskt objekt i användarens besittning, t.ex. ett USB-minne med ett hemligt tecken, ett bankkort, en nyckel, etc.

Någon hemlighet som är känd för användaren, till exempel ett lösenord, PIN, TAN, etc.

Någon fysisk egenskap hos användaren (biometri), såsom ett fingeravtryck, ögon-iris, röst, typhastighet, mönster i nyckelpressintervall etc.

Kunskapsfaktorer[redigera | redigera wikitext]

Kunskapsfaktorer är den vanligaste formen av autentisering. I den här formen är användaren skyldig att bevisa kunskap om en hemlighet för att kunna verifiera.

Ett lösenord är ett hemligt ord eller en rad tecken som används för användarautentisering. Detta är den vanligaste mekanismen för autentisering. Många autentiseringstekniker med flera faktorer är beroende av lösenord som en faktor för autentisering. Variationer inkluderar både längre som bildas av flera ord (en lösenfras) och kortare, rent numeriskt personligt identifieringsnummer (PIN) som vanligtvis används för när vi använder bankkort eller kreditkort. Traditionellt förväntas lösenord bli memorerade och inte nedskrivna, men det finns system för att hantera lösenord utan att memorera dem, vanligen genom att man lämnar lösenordshanteringen till ett datorprogram eller en skild apparat.

Om kunskapen skrivs ner eller lagras i en apparat är den inte längre separat från innehav, men kan innebära att det vid tvåfaktorsautentisering behövs två oberoende innehav. Om minneslappen med bankkortets PIN förvaras i samma plånbok som bankkortet, eller lösenordet hanteras med en app på mobiltelefonen som används som "innehav" är de två innehaven inte längre oberoende.

Så kallade säkerhetsfrågor, det vill säga frågor som "var föddes du?", är dåliga exempel på en kunskapsfaktor eftersom de kan vara kända för en bred grupp människor, eller kan dessa lätt tas reda på genom enkel efterforskning. Personnummer används ibland som säkerhetsfråga, men det framgår ur många register och avslöjas i allmänhet alltid då man visar ID.

Besittningsfaktorer[redigera | redigera wikitext]

Besittningsfaktorer ("något som endast användaren har") har använts för autentisering i århundraden, i form av en nyckel till ett lås. Grundprincipen är att nyckeln förkroppsligar en hemlighet som delas mellan låset och nyckeln, och samma princip är baserad på ägarfakturautentisering i datorsystem. En säkerhetstoken eller säkerhetsenhet är ett exempel på en besittningsfaktor.[förtydliga]

Ej anslutna säkerhetsenheter (säkerhetsdosor)[redigera | redigera wikitext]

Ej anslutna säkerhetsdosor har ingen direkt anslutning till klientdatorn. De brukar använda en inbyggd skärm för att visa genererad autentiseringsdata som sedan manuellt skrivs in av användaren.

En annan vanlig lösning som används av många av de större aktörerna på internet, till exempel Microsoft, Google, Amazon och Facebook, är tidsbaserade engångslösenord eller på engelska "Time-based One-time Passwords".[förtydliga]

Nätanslutna säkerhetsenheter[redigera | redigera wikitext]

Vanligt idag är att man har en app i sin telefon som man då kan använda som säkerhetsdosa. Ett exempel är mobilt BankID. Många internetbanker använder säkerhetsdosor och/eller E-legitimation.

Telefonen eller andra nätanslutna säkerhetsenheter är kopplade till internet och kan därför bli föremål för dataintrång över nätet. I bästa fall är de ändå oberoende av den dator med vilken man loggar in och med vilken man ger sitt lösenord (eller autentiseringskoder genererade med en icke-ansluten säkerhetsdosa), varvid man kan hoppas att en angripare inte gjort intrång på båda, eller inte vet att de är kopplade till samma person.

Anslutna säkerhetsenheter[redigera | redigera wikitext]

Anslutna säkerhetsenheter är enheter som är fysiskt anslutna till datorn som ska användas och sänder data automatiskt. Det finns ett antal olika typer, inklusive kortläsare, trådlösa taggar och USB-tokens. Används idag bland annat inom bank, sjukvård, polis och försvarsmakten, men det finns även lösningar för enskilda individer.

Biometri[redigera | redigera wikitext]

Dessa är faktorer som är förknippade med användaren. Det kan till exempel röra sig om fingeravtrycksläsare, ansikts-, näthinne- eller röstigenkänning. Många moderna telefoner använder biometri och har till exempel fingeravtrycksläsare.

Referenser[redigera | redigera wikitext]