Passwords er brudt. Ikke teknologien i sig selv, men idéen om at et password alene er nok til at beskytte en konto. Hvert år lækker hundredvis af millioner af brugernavn- og passwordkombinationer fra kompromitterede tjenester, og angribere køber disse lister og afprøver dem systematisk mod virksomheders systemer. Dit password fra en tjeneste du brugte for tre år siden kan i dag give adgang til din e-mail — hvis du ikke har MFA aktiveret.

Hvad er MFA?

MFA står for multifaktor-autentificering (også kaldet to-faktor-autentificering eller 2FA). Princippet er enkelt: for at logge ind kræves det ikke bare, at du ved noget (dit password), men også at du beviser din identitet på endnu en måde.

Tænk på det som en bankboks, der kræver både en nøgle og en pinkode. Stjæler nogen nøglen, kommer de stadig ikke ind uden pinkoden. Det samme gælder MFA: selv hvis en angriber har dit password, kan de ikke logge ind uden adgang til den anden faktor.

Hvorfor er passwords alene ikke nok?

Problemet med passwords er ikke kun databrud. Det er også, at folk genbruger dem. Undersøgelser viser, at over 60% af brugere genbruger det samme password på tværs af tjenester. Det betyder, at et lækket password fra eksempelvis en webshop kan bruges til at tilgå din virksomheds e-mail eller cloud-løsning.

Derudover er phishing — som vi gennemgår i en anden artikel — ekstremt effektiv til at stjæle passwords. En medarbejder, der klikker på et falskt Microsoft-login, afleverer sit password til en angriber. Uden MFA er kontoen kompromitteret med det samme. Med MFA mangler angriberen stadig den anden faktor.

Ifølge Microsoft blokerer MFA over 99,9% af automatiserede kontoangreb. Det er den enkeltste og mest effektive sikkerhedsforanstaltning du kan implementere i din virksomhed — og den er billig eller gratis med de fleste eksisterende abonnementer.

De tre typer MFA

SMS-kode

Den mest udbredte form. Når du logger ind, sendes en engangskode til din mobiltelefon via SMS. Du taster koden som det andet trin. Det er bedre end ingenting, men SMS-MFA har svagheder: koder kan opsnappes via SIM-swap-angreb, og phishing-sider kan i realtid videresende koden til angriberen. Til de fleste SMV'er er SMS-MFA dog stadig et markant løft i sikkerhedsniveauet.

Authenticator-app

Apps som Microsoft Authenticator eller Google Authenticator genererer en ny sekscifret kode hvert 30. sekund direkte på telefonen — uden internetforbindelse. Koden er tidsbegrænset og genereres lokalt, hvilket gør den sværere at opsnappe end en SMS. Microsoft Authenticator understøtter desuden number matching, hvor du bekræfter et tal vist på loginskærmen i stedet for blot at trykke "Godkend" — det gør det sværere at godkende en MFA-anmodning ved en fejl.

Hardware-nøgle (FIDO2)

En fysisk USB- eller NFC-nøgle (fx YubiKey) er den stærkeste MFA-form. Den er immun over for phishing, fordi nøglen kun virker på det rigtige domæne. Bruges primært til administratorer og højrisikobrugere. Koster typisk 300–600 kr. pr. nøgle, men for kritiske konti er investeringen lille sammenlignet med risikoen.

MFA i Microsoft 365 — trin for trin

Har du Microsoft 365 til din virksomhed, er MFA allerede inkluderet. Sådan aktiverer du det:

  1. Log ind på Microsoft 365 Admin Center (admin.microsoft.com) med en administratorkonto.
  2. Gå til IdentitetOversigtSikkerhedsstandards og aktivér dem. Det aktiverer MFA for alle brugere automatisk.
  3. Alternativt — og mere fleksibelt — kan du oprette Betinget adgang-politikker under Microsoft Entra ID (tidligere Azure AD), som giver mulighed for at kræve MFA ved specifikke betingelser, fx ved login udenfor kontoret.
  4. Kommunikér til medarbejderne, at de ved næste login vil blive bedt om at oprette MFA. Send en kort vejledning, inden du aktiverer det.
  5. Sæt en deadline: alle konti skal have MFA aktiveret inden X dage. Håndhæv det teknisk, hvis nødvendigt.

Sådan ruller du MFA ud i en lille virksomhed

Den største modstand mod MFA er ikke teknisk — det er menneskelig. Medarbejdere synes det er besværligt, og ledere er bekymrede for at det bremser arbejdsgangene. Sandheden er, at MFA tilføjer 5-10 sekunder til loginprocessen — og det er prisen for at fjerne en af de mest sandsynlige årsager til et databrud.

Praktiske råd til udrulningen:

  • Start med administratorkonti. De er det mest værdifulde mål. Gør det først.
  • Brug Microsoft Authenticator frem for SMS. Det er lidt mere sikkert og giver bedre brugeroplevelse med notifikationer.
  • Lav en enkel guide til medarbejderne — gerne med skærmbilleder — der viser dem, hvordan de sætter appen op på telefonen.
  • Planlæg support-kapacitet. De første to dage efter aktivering vil nogen have spørgsmål. Sørg for at IT er tilgængeligt.
  • Aktivér MFA for e-mail, VPN og alle cloud-systemer — ikke kun Microsoft 365. Se hvilke andre systemer din virksomhed bruger.

Hvad MFA ikke løser

MFA er ikke et skjold mod alt. Sofistikerede phishing-angreb (såkaldte adversary-in-the-middle-angreb) kan i realtid videresende både password og MFA-kode. Derfor er MFA bedst kombineret med andre foranstaltninger: opdateret software, sikker DNS-filtrering og medarbejdertræning. Men uden MFA er du unødigt sårbar over for de angreb, der sker tusindvis af gange om dagen — og som det ville have taget 30 minutter at beskytte sig imod.