Kontakt

Stop login-kapringer: Phishing-resistent MFA på 14 dage

FORFATTER

Alan M. Kristensen

Executive summary

Danske SMV’er oplever flere konto-overtagelser, selv om der er sat traditionel MFA med SMS eller app-koder på. Angribere fisker koder, kaprer sessioner og udnytter godkendelser, når mennesker er pressede. Løsningen er at gøre login phishing-resistent med passkeys og FIDO2-sikkerhedsnøgler, så godkendelsen bindes til enheden og domænet, ikke til en kode der kan stjæles.

Du kan skifte på to uger uden et stort IT-projekt. Det kræver tre ledelsesbeslutninger, en kort afklaringsfase og en stram udrulning med nød-adgang der ikke bliver en bagdør. Nedenfor får du en enkel plan, konkrete valg for Microsoft 365 og Google Workspace og en tjekliste, så I stopper login-kapringer og styrker forretningskontinuiteten.

Hvorfor almindelig MFA ikke stopper konto-overtagelser

Mange angreb i danske SMV’er starter med phishing og ender i økonomi, mail og kundedata. Koder i SMS eller godkendelsesapps kan lokkes ud via falske login-sider og realtid proxier. Sessioner kan kapres, hvis brugeren narres til at godkende på det forkerte tidspunkt. Når belastningen er høj, trykker mennesker på Godkend. Resultatet er konto-overtagelse, selv om I har MFA.

Phishing-resistent login reducerer angrebsfladen, fordi godkendelsen ikke kan flyttes. Passkeys og FIDO2 bygger på offentlig privat-nøglekryptografi. Nøglen ligger sikkert på brugerens enhed eller i en certificeret sikkerhedsnøgle. Ved login underskriver brugeren en kryptografisk udfordring bundet til det rigtige domæne. Der er ingen engangskode at stjæle og intet password at genbruge. Læs grundlaget hos FIDO Alliance om passkeys her.

Hvad er passkeys og FIDO2, og hvad skal du vælge

Passkeys er brugeroplevelsen af FIDO2 WebAuthn. Brugeren logger ind med ansigt, finger eller en PIN, og nøglen underskriver udfordringen for netop det domæne. Passkeys kan være platformnøgler på pc og mobil eller synkroniserede nøgler via udbydernes økosystemer. FIDO2-sikkerhedsnøgler er fysiske nøgler med USB, NFC eller Bluetooth, som kan medbringes mellem enheder.

I Microsoft 365 administreres metoderne i Entra ID. Se oversigt over godkendelsesmetoder her, samt vejledning i passkeys og FIDO2 her. I Google Workspace kan brugere oprette passkeys direkte og administratorer håndhæve dem. Se Googles hjælpeside her. For adgangskoder anbefaler det britiske NCSC at modernisere til tilgang med længere passphrases og flerfaktor, men peger også på at bevæge sig mod phishing-resistente metoder. Læs NCSC’s råd her.

For en dansk SMV er valget ofte en kombination. Brug passkeys på moderne enheder for lav friktion. Brug FIDO2-sikkerhedsnøgler til nøglepersoner, fællesmaskiner, eksterne konsulenter og som nød-adgang. Begge dele kan håndhæves via politikker.

Tre beslutninger fra ledelsen før I går i gang

Dette er en ledelsesopgave, ikke kun teknik. Aftal følgende for at komme på forkant.

  1. Hvem. Start med de konti der skaber mest risiko og forretningsværdi. Typisk direktør, økonomi, HR, IT, salgsledere, systemejere og brugere med eksterne integrationsnøgler. Definér også grupper der kan vente.
  2. Hvornår. Vælg en 14-dages periode hvor kalenderen tillader kort træning og support. Læg skiftet uden for kvartalsbogføring og travle produktionsspidser.
  3. Hvordan. Vælg standardmetoden per gruppe. Eksempel. Passkeys via platform på managed laptops og mobiler. FIDO2-nøgler til delte pc’er, fejlsikring og rejsende. Aftal også krav til PIN, biometrisk brug og opbevaring.

Kobl beslutningerne til jeres styringsmodel. Dokumentér i jeres sikkerhedspolitik. Det gør jer NIS2-klar og hjælper ved revision. Se hvordan modenhed vurderes under modenheds-analyse.

14-dages plan fra idé til drift

Planen kan køre i Microsoft 365 og Google Workspace uden stort projekt. Brug listen som stykliste og styringsværktøj.

  1. Dag 1 til 2. Afklaring og baseline.
    • Lav et hurtigt tjek af nuværende loginmetoder, MFA-dækning og risikokonti. I kan bruge et sikkerhedstjek til at få overblikket.
    • Beslut målgrupper og standardmetode. Aftal nød-adgangsmodel. Bestil eventuelle FIDO2-nøgler i rette antal plus 10 procent ekstra.
  2. Dag 3 til 5. Forberedelse og pilot.
    • Slå passkeys og FIDO2 til i Entra ID eller Google Admin. Definér policy pr. gruppe. Deaktiver svage metoder gradvist, for eksempel SMS.
    • Udvælg en pilotgruppe på 5 til 10 personer fra økonomi, IT og kundevendte teams. Uddel nøgler og kør opsætning med kort instruktion på 15 minutter.
    • Test login til mail, CRM, økonomisystem og fjernadgang. Ret fejl i politikker. Dokumentér læring.
  3. Dag 6 til 8. Udrulning bølge 1.
    • Rul ud til højrisiko-konti og ledere. Sæt deadline for at registrere mindst to metoder, for eksempel en passkey på laptop og en FIDO2-nøgle som backup.
    • Deaktiver SMS for disse brugere. Hold push-app som midlertidig reserve i 3 dage med overvågning.
    • Gennemfør awareness-microtræning om hvorfor login nu ser lidt anderledes ud. Se vores tilgang til awareness træning.
  4. Dag 9 til 11. Udrulning bølge 2.
    • Rul ud til resten af kontorer og funktioner. Brug same-day support via chat eller walk-in.
    • Sæt betinget adgang. Kræv passkey eller FIDO2 for cloudadministration, finans og systemejere. Bloker almindelig password login hvor muligt.
    • Registrér nød-adgang for mindst to administratorer med offline FIDO2-nøgler i forseglet kuvert. Se afsnittet om nød-adgang.
  5. Dag 12 til 14. Oprydning og håndhævelse.
    • Sluk svage metoder på tværs. Deaktiver SMS. Behold app-push kun der hvor FIDO2 endnu ikke kan bruges, for eksempel enkelte tredjepartsapps.
    • Opdater politikker og dokumentation. Registrér forvaltning af nøgler og erstatningsprocedure.
    • Planlæg en kvartalsvis kontrol. Overvej et abonnement som Forkant hvis I vil have løbende opfølgning, træning og rapportering.

Nød-adgang der virker uden at skabe bagdøre

Nød-adgang er ofte det svageste led. Den skal virke på værst tænkelige dag og samtidig ikke kunne misbruges i hverdagen. Brug følgende model.

  • Break-glass konti. Opret to separate administratorer kun til nød. Ingen licenser ud over det nødvendige. Ingen mail. Lange passphrases gemt offline. Log overvåges. Login kun fra bestemte netværk.
  • Fysiske FIDO2-nøgler. Tildel to hardware nøgler til hver break-glass konto. Opbevar i brandsikkert skab to forskellige steder. Forsegl med signeret kontrol. Brug PIN kendt af to personer via to-mandsprincip.
  • Recovery flow. Dokumentér hvordan en låst bruger gendanner adgang. For eksempel via lokal IT med ID-kontrol og udlevering af ny nøgle. Ingen gendannelse via mail alene.
  • Test hvert kvartal. Simulér tab af telefon og pc. Tjek at I kan åbne break-glass konti uden internet på primære enheder.

Med en enkel nød-adgangsmodel undgår I at slække på sikkerheden for hverdagens brugere. I beskytter driften uden at efterlade en permanent bagdør.

Hvad med jeres apps, integrationer og eksterne leverandører

Mange SMV’er har apps der endnu ikke understøtter passkeys. Brug betinget adgang og gateway-løsninger hvor udbyderen ikke er klar. I Microsoft 365 kan I kræve stærk godkendelse via Entra ID foran appen og skubbe passkey-kravet til fronten. For system-til-system adgang skal I udfase delte menneskebrugere og skifte til non-interactive nøgler eller service principals med nøglerotation.

Test kritiske integrationer under piloten. Har I kundevendte portaler, kan I prioritere passkey-login for kunder, når jeres interne skifte er på plads. Overvej en målrettet pentest der simulerer konto-overtagelse i den specifikke kontekst. Kombinér med et sikkerhedstjek af cloud-konfigurationer for at sikre at politikkerne faktisk håndhæves.

Forankring. Drift, træning og dokumentation

Phishing-resistent login er ikke et enkeltstående projekt. Det er en ny standard for jeres identitetsstyring. Sæt ejerskab hos både IT og ledelse. Mål på andelen af konti med mindst to stærke metoder og på tid til gendannelse ved tab af enhed.

  • Drift. Indsæt et fast månedligt tjek af nye brugere og hjemtagne enheder. Hold styr på nøgler i udlevering og returnering.
  • Træning. Giv microtræning ved onboarding og kvartalsvis refresh. Menneskelige fejl er hovedårsagen til hændelser. Se mere om vores awareness træning.
  • Dokumentation. Opdater politikker og kontroller, så I kan dokumentere NIS2 og ISO 27001. Har I brug for at benchmarke modenhed, så se vores modenheds-analyse.

Handlingsopfordring. Næste skridt i din SMV

Brug de næste 14 dage på at fjerne login-kapringer som forretningsrisiko. Start med et hurtigt tjek af jeres nuværende loginmetoder. Beslut hvem der skal først, hvordan I vil godkende, og hvordan nød-adgang håndteres. Rul ud til pilot, lær, og skaler til resten af organisationen. Læg en kvartalsvis kontrol i kalenderen.

Hvis du vil have et eksternt blik på jeres konfiguration og en effektiv gennemførelse, så begynd med et sikkerhedstjek, og overvej et løbende setup via Forkant der kombinerer tekniske kontroller, træning og rapportering. Har bestyrelsen brug for en kort, ikke-teknisk gennemgang af ansvar og beslutninger, så book en workshop.