Nätfiske ÄR ett hot mot MFA inlogg (multifaktorautentisering)

Risken mindre men absolut inte borta - kanske farligare

Vi brukar jämföra IT-säkerhet med bilindustrin, en enkel analogi där de senaste säkerhetsfunktionerna för Lane Assist, "döda vinkeln" och automatisk inbromsning har minskat risken för olyckor. 

Följdfrågan blir då, blir vi bättre eller sämre förare?

Detsamma gäller för IT-säkerhet, ifall vi förlitar oss på de nödvändiga säkerhetsfunktionerna som dyker upp, blir vi mer uppmärksamma eller inger det en falsk trygghet?

Oavsett, vi är så pass dåliga på att bevara lösenord att det räckte inte längre med ditt lösenord, vi behövde ytterligare ett säkerhetslager. Vi behövde autentisera oss som den faktiska användaren, det räckte inte längre med auktorisering.

MFA - SMS kod för att logga in


Länge var det populärt att ta emot en engångskod via ett SMS.  När man sedan kunde begära ut tvilling SIM från mobiloperatören utan att behöva autentisering.... Finns ett spännande fall här i Sverige där man kom åt en journalists gmail på grund av detta. 

Marknaden svarar


Idag finns det otroligt många alternativ som anses skydda diverse inloggningsportaler. Yubikey, Microsoft Authenticator, Google Authenticator, Nitrokey, Fido och så vidare har tagits fram för att säkra åtkomst till data genom att du behöver autentisera dina inloggningsuppgifter.

Trots alla dessa nya säkerhetsfunktioner måste vi alltid komma ihåg, går det att hacka kommer det att hackas. Det är alltid bara en fråga om när. MFA har redan vid flera tillfällen visat sig att man har kommit runt detta. Metoderna för de olika säkerhetslösningarna skiljer sig åt, men angreppen sker uteslutande kring själva användningen av din MFA. 

Så även om användningen av en MFA har minskat risken för intrång, så är falsk trygghet kanske än mer farligt, vi litar blint på "döda vinkel"-varningen på bilen, vi slutar titta.


Denna falska trygghet kanske var en av orsakerna till intrången hos Google, Twitter, Microsoft, Axis osv?

Vem behöver ett "cyberförsvar"?
Vilken frågor kan man ställa sig själv?