Digi publiserte en artikkel om innføring av sikkerhetsnøkler og ny anbefaling fra Nasjonal sikkerhetsmyndighet (NSM) som ble publisert i forrige uke. Artikkelen er bak betalingsmur, men artikkelen kan leses her.
Ber virksomheter skru av passord og flerfaktor for å sikre e-posten
I Nord-Østerdalen har fem kommuner gått over til fysiske sikkerhetsnøkler. Det er helt i tråd med myndighetenes ferske anbefaling.
Nasjonal sikkerhetsmyndighet (NSM) ber nå virksomheter å gå over til phishingresistent autentisering.
Det skyldes at hackere i økende grad klarer å omgå multifaktorautentisering, blant annet ved å stjele sesjonsnøkler til tjenester som Microsoft 365, Gmail og andre skyløsninger.
Passord, engangskoder og andre innloggingstiltak gir lite beskyttelse hvis noen etterpå får kontroll over din aktive brukerøkt.
Nøkler til alle
Kai Røen er sikkerhetsleder i IKT Fjellregionen IKS, også kjent som FARTT, et interkommunalt selskap eid av Folldal, Alvdal, Rendalen, Tynset og Tolga.
I høst har de innført fysiske sikkerhetsnøkler for drøyt 2200 ansatte, og mener det er en betydelig mer motstandsdyktig løsning mot phishing og identitetstyveri.
De valgte produktet Yubikey, som erstatter både autentiseringsapper og SMS-koder.
– Det er den sikreste måten å hindre tyveri av sesjonstokens, en svakhet som utnyttes stadig oftere. Angrep mot authenticator-apper har vært utbredt i 2024, forteller Røen til Digi.
Han mener at en fysisk sikkerhetsnøkkel er det beste alternativet i dag, men at teknologien kan endre seg. Digitale passnøkler er også på vei.
Ikke billig
Kai Røen sier kommunene i Nord-Østerdalen fortjener ros for å ha bevilget pengene til dette.
– Kostnaden er høy, rundt 1000 kroner per nøkkel, men kommunene har tatt sikkerhet på alvor. På sikt kan passnøkler kanskje erstatte behovet for Yubikeys.
En fysisk sikkerhetsnøkkel gir ikke bare høyere sikkerhet, men også praktiske fordeler som å eliminere «glemt passord»-problemer og forenkle påloggingen.
– Dette gir også færre henvendelser til IT-support. Med sikkerhetsnøklene er innlogging rask og trygg – du setter inn nøkkelen, taster PIN-kode, trykker på nøkkelen og er inne, forklarer sikkerhetslederen.
IT-avdelingen har selv benyttet seg av sikkerhetsnøkler i en lengre periode før den bredere innføringen.
Strålende fornøyd
Kai Røen roser kommunene for å prioritere IT-sikkerhet til tross for økonomiske utfordringer.
Det interkommunale IKT-foretaket kjørte også en test med tjue nøkler i helsevesenet for ansatte som jobber på delte PC-er.
Brukerne var i ekstase, og sparte masse tid på innlogging, fordi mange har lange e-postadresser og passord, skriver Røen i et innlegg på Linkedin.
– Hvor langt er dere kommet?
– Prosjektet startet for et år siden, og vi er tidlig ute. Passordfri pålogging er nå tilgjengelig på maskinene, men valget om å bruke passord er fortsatt der. En helt passordfri hverdag ligger litt frem i tid, sier Røen til Digi.
Ansatte i kommunene blir i et innlegg oppmuntret til å benytte de nye sikkerhetsnøklene sine, også på fritiden.
– Vi anbefaler også Yubikey privat, for eksempel til sosiale medier. Nøklene er personlige og må behandles som adgangskort. Vi må ha gode rutiner for håndtering av nøklene etter etter endt arbeidsforhold. En ulempe med nøklene er at brukervennligheten kan bli bedre, og det bør Microsoft, Google og Apple jobbe videre med, avslutter Røen.
NSM: – Microsoft 365 er mest utsatt
Kommunene i Nord-Østerdalen har et variert IT-miljø med ulike løsninger på tvers av sektorer. Microsoft er den dominerende leverandøren av programvare, slik det ofte er i norske virksomheter.
I sitt varsel skriver NSM at Microsoft 365 er den mest utsatte plattformen for angrep hvor aktører forbigår tradisjonell flerfaktorautentisering.
– Phishingresistent autentisering som passnøkler må påkreves som eneste autentiseringsmekanisme for å hindre at brukerkontoer kommer på avveie. Skru derfor av passord og tradisjonelle flerfaktorløsninger, lyder det klare rådet fra sikkerhetsmyndigheten.
Varselet går nærmere inn på flere typer tiltak, inkludert også phishingresistente autentiseringsmekanismer som vi ikke nevner i akkurat denne artikkelen
—
Medie: digi.no
Journalist: Marius B. Jørgenrud
Publisert: 18.12.2024
Lenke til sak på digi.no
