Jag har många kunder som använder multifaktorautentisering och det på goda grunder. Sannolikheten att ett konto blir komprometterat minskar enormt bara genom att vi kräver fler faktorer för att godkänna en inloggning. Men hur gör man? Vilka är riskerna? Hur skall man resonera?
Resonemangen
Det finns ett antal frågor som man kanske skall försöka besvara innan man startar med sin implementation.
MFA för alla eller bara för en del
MFA är inte bara en säkerhetsfördel, det är också en risk. Om vi tänker oss den gyllene triangeln av säkerhet: Konfidentialitet, Integritet och Tillgänglighet. Just den sista punkten, tillgänglighet, tillhör en av riskerna med MFA. Vi har bara under 2019 hittils haft tre incidenter där MFA i Azure AD (som används för Office 365) legat nere och därmed gjort Office 365 otillgängligt.
Om vi nu kräver MFA för alla användare så kan ingen, varken administratör eller användare komma åt vare sig mail, Teams, SharePoint eller någon annan tjänst som Office 365 innehåller. Enbart den som redan är inloggad när MFA-haveriet sker kan fortsätta arbeta.
Om vi kräver MFA för alla högriskanvändare, dvs alla användare som har åtkomst till extra känslig information, så är enbart de påverkade av haveriet.
Om vi kräver MFA för alla administratörer, vilket Microsoft rekommenderar som en basnivå på säkerhet, så kan vi inte administrera och vi kan heller inte reagera och hantera eventuella angrepp som sker medan MFA är otillgängligt.
Att slå på MFA
Att slå på MFA är ganska enkelt. Det kräver två moment.
- att jag "enablat" eller slagit på MFA-stödet för användaren
- att användaren registrerat sig för MFA
När användaren registrerar sig för MFA så väljer användaren på vilket sätt denne vill verifiera sin identitet. Det kan vara:
- Ett telefonsamtal som man svarar på och trycker fyrkant för att bekräfta inloggningen
- Ett SMS med ett numeriskt engångslösenord som jag knappar in i en extra inloggningsdialogruta
- App-verifiering, där jag har en autenticeringsapp på min mobiltelefon i vilken jag bekräftar att det verkligen är jag som loggar in.
När olyckan är framme
Så vad händer då om MFA är otillgängligt och jag inte kan komma åt tjänsterna? Ja, om vi bara har en enda administratör som antingen redan är inloggad eller om jag har ett i nödfall krossa glaset -adminkonto så kan jag naturligtvis "disabla" eller stänga av MFA för vissa eller alla anvöndare, men det innebär att registreringsinformationen försvinner och när jag slår på MFA igen måste användaren registrera sig på nytt.
MFA alltid eller bara ibland
Multifaktorautensiering behöver ju inte vara i effekt alltid. Om vi skaffar licens för våra användare till tjänsten Azure AD P1 så kan vi ha villkorsstyrd MFA.
Vilkorsstyrd MFA är ganska praktiskt eftersom vi kan sätta regler för när vi skall kräva en extra faktor. Till exempel kan vi kräva en extra faktor så fort vi befinner oss utanför betrodda nätverk, som t ex när jag är på besök hos kund, eller sitter på ett kafé. Jag kan också kräva en extra faktor när jag accessar vissa tjänster.
Om jag har Intune-licens och min enhet är registrerad som en betrodd enhet så kan jag slippa bekräfta min identitet.
MFA eller inte MFA
Jag tillhör dem som tycker att MFA verkligen tillför extra säkerhet men också en extra problemdomän, och just problemdomänen är något jag verkligen betonar att du behöver ha tänkt igenom först innan du slår på MFA.
Mats Warnolf AB 