Er to-faktor godkendelse sikkert?

Næsten siden internettets spæde start har online sikkerhed bestået af et brugernavn og et password. Så længe du har haft både brugernavnet og password, så har du kunne logge ind fra hele verden. Det har været nemt, brugervenligt og ret så usikkert.


To-faktor godkendelse er i de seneste år blevet det første mange virksomheder tyr til, når det handler om at højne cybersikkerheden i deres virksomhed. Det kan der være mange gode grunde til, særligt når vi dagligt hører historier om lækkede databaser, hacks og phishing forsøg, der stjæler netop brugernavne og passwords.


Men her er en påstand: To-faktor sikkerhed er kun sikkert, hvis dine bruger forstår cybersikkerhed.


Lad os pakke den udmelding ud, og se nærmere på to-faktor processen:

  • En bruger logger ind på en website med brugernavn og kodeord.

  • Kodeordet valideres af webserveren og brugeren ryger videre til endnu en godkendelsesproces.

  • Brugeren modtager en unik kode på sms, mail eller via en to-faktor app, som de skal indtaste i en ny godkendelsesboks - ofte en 6-cifret kode.

  • Brugeren anvender sin telefon eller et andet device til at læse koden og bekræfte, at de både har det rette kodeord og adgang til den 6-cifrede kode.

  • Brugeren bliver nu logget ind.




Processen er utrolig smart og efter man har lært at installere og anvende to-faktor, så går der ikke længe før det bliver en del af ens hverdag og rutine.


To-faktor træerne vokser dog ikke ind i himlen


Bør 2-faktor godkendelse så ikke holde hackerne ude? Kan vi nu beholde vores dårlige passwords? Desværre ikke! To-faktor højner din sikkerhed, men det kræver to ting:

  1. At det implementeres korrekt og anvendes i hele organisationen

  2. At medarbejdere forstår, hvordan de fortsat kan blive narret via phishing og andre scams.

Lad mig uddybe de to punkter. Når du implementerer noget som to-faktor godkendelse, så har du så har du lige givet dine medarbejdere verdens kedeligste opgave og du har samtidig gjort det sværere for dem at logge ind. Et spørgsmål vi ofte hører, når vi har snakket med skeptiske brugere er:


“Så skal jeg altid have min telefon på mig, når jeg skal logge ind?”.


I tonen ligger, der en klar forventning om, at det her ikke bliver nemt. Hvis implementering ikke sker på brugernes præmisser og med en forståelse for deres hverdag, så bliver der dårlige implementeringsrater og to-faktoren vil kun blive anvendt sporadisk, på enkelte websider og måske ikke engang de allervigtigste systemer. Altså dyrt og ikke særlig sikkert.


Den anden - og langt sværere udfordring at løse - er, at hackerne konstant udvikler sig. De anvender i dag programmer, der også forsøger at omgås to-faktor godkendelsen. Fx kan de lave en falsk to-faktor side, som giver dem adgang til dine filer, næsten lige så nemt, som hvis du ikke brugte to-faktor godkendelse. Det kræver et trænet øje at kunne se, at der er noget galt.


Tilbage til min påstand: To-faktor sikkerhed er kun sikkert, hvis dine bruger forstår cybersikkerhed.


Dine brugere skal simpelthen forstå, hvorfor det er vigtigt for jeres organisation, at de anvender to-faktor godkendelse. De skal også forstå hvordan jeres organisation kan blive udsat for phishing og svindel, så de ikke bypasser jeres tekniske sikkerhedsforanstaltninger . Hvis vi blot anvender to-faktor godkendelse som en compliance, der skal udrulles, så kan det nemt blive en falsk tryghed, der kan ende med at blive både dyrt og ineffektivt.


Står du og skal implementere to-faktor godkendelse, så overvej vores råd til en god implementering:


  • Vær sikker på, at dine medarbejdere forstår hvorfor I vil implementere to-faktor godkendelse.

  • Lav udførlige instruktioner og sæt tid af til at medarbejdere kan får hands-on hjælp til at installere to-faktor godkendelse korrekt.

  • Sørg for, at dine medarbejdere forstår, hvordan man bliver phishet og udsat for andre typer af online snyd, som social engineering, malware, osv.

  • Husk at følge op om der nu er sket en implementering og har du nået de mål, som du har sat? Sæt hellere flere delmål end et stort og endeligt mål. Husk, at sikkerhed er en rejse og ikke en destination.