Vad är autentisering?
Läs om hur identiteterna för personer, appar och tjänster verifieras innan de får åtkomst till digitala system och resurser.
Definition av autentisering
Autentisering är den process som företag använder för att bekräfta att endast rätt personer, tjänster och appar med rätt behörighet kan komma åt organisationens resurser. Det är en viktig del i cybersäkerheten eftersom angriparnas högsta prioritet är att få obehörig åtkomst till system. De gör detta genom att stjäla användarnamn och lösenord från användare som har åtkomst. Autentiseringsprocessen består av tre huvudsteg:
- Identifiering: Användare identifierar sig vanligtvis med ett användarnamn.
- Autentisering: Vanligtvis brukar användare bekräfta sin identitet genom att ange ett lösenord (något som endast användaren förväntas känna till), men för att stärka säkerheten kräver många organisationer att användarna även ska bekräfta sin identitet med något som de har (en telefon eller säkerhetsdosa) eller något de är (fingeravtryck eller ansiktsskanning).
- Auktorisering: Systemet verifierar att användarna har behörighet till det system som de försöker komma åt.
Varför är det viktigt med autentisering?
Det är viktigt med autentisering eftersom det hjälper organisationer att skydda sina system, data, nätverk, webbplatser och program mot attacker. Det hjälper också enskilda personer att skydda sina personuppgifter och utföra aktiviteter som bankärenden eller inköp på nätet på ett säkrare sätt. Om autentiseringsprocessen är svag är det enklare för en angripare att kompromettera ett konto, antingen genom att gissa personens lösenord eller lura personen att uppge sina autentiseringsuppgifter. Detta kan leda till följande risker:
- Dataintrång eller exfiltrering.
- Installation av skadlig kod, till exempel utpressningstrojaner.
- Bristande efterlevnad av regionala eller branschens datasekretessbestämmelser.
Så fungerar autentisering
För enskilda personer handlar autentisering om att skapa ett användarnamn, lösenord och andra autentiseringsmetoder, till exempel ansiktsskanning, fingeravtryck eller PIN-kod. För att skydda identiteterna sparas ingen av dessa autentiseringsmetoder i tjänstens databas. Lösenord är hashkodade (inte krypterade) och hashkoderna sparas i databasen. När en användare anger ett lösenord hashkodas även det angivna lösenordet. Sedan jämförs hashkoderna. Om de matchar varandra beviljas åtkomst. Information för fingeravtryck och ansiktsskanning kodas, krypteras och sparas på enheten.
Typer av autentiseringsmetoder
I en modern autentisering delegeras autentiseringsprocessen till ett betrott, separat identitetssystem till skillnad från vid en traditionell autentisering där varje system själv verifierar identiteterna. Vilka autentiseringsmetoder som används har också förändrats. De flesta program kräver ett användarnamn och lösenord, men eftersom angriparna har blivit bättre på att stjäla lösenord har säkerhetscommunityn utvecklat flera nya metoder för att skydda identiteter.
Lösenordsbaserad autentisering
Lösenordsbaserad autentisering är den vanligaste formen av autentisering. Många appar och tjänster kräver att användarna skapar lösenord med en kombination av siffror, bokstäver och symboler för att minska risken att en angripare kan gissa dem. Men lösenord skapar också utmaningar när det gäller säkerhet och användbarhet. Det är svårt att komma på och memorera unika lösenord för varje onlinekonto och därför använder många samma lösenord. Och angriparna använder flera taktiker för att gissa eller stjäla lösenord eller lura personer att uppge dem. Därför har organisationer börjat övergå till säkrare autentiseringsmetoder.
Certifikatbaserad autentisering
Certifikatbaserad autentisering är en krypterad metod som gör att enheter och personer kan bekräfta sin identitet för andra enheter och system. Två vanliga exempel är smartkort eller att en anställds enhet skickar ett digitalt certifikat till ett nätverk eller en server.
Biometrisk autentisering
Vid en biometrisk autentisering bekräftar personer sin identitet med hjälp av biologiska egenskaper. Många använder till exempel finger- eller tumavtryck för att logga in på telefonen, och vissa datorer kan skanna en persons ansikte eller näthinna för att verifiera identiteten. Biometriska data kan också kopplas till en specifik enhet så att angripare inte kan använda dem om de inte också har åtkomst till själva enheten. Den här typen av autentisering blir allt populärare eftersom den är enkel att använda då man inte behöver komma ihåg allt. Och den är säkrare eftersom den är svår för angripare att stjäla.
Tokenbaserad autentisering
I tokenbaserad autentisering skapar både enheten och systemet ett nytt unikt nummer, en tidsbaserad engångs-PIN-kod (TOTP) var 30:e sekund. Om numren matchar varandra verifierar systemet att användaren har enheten.
Engångslösenord
Engångslösenord (OTP) är koder som genereras för en specifik inloggningshändelse och som upphör att gälla en kort tid efter att de har utfärdats. De levereras via SMS-meddelanden, e-postmeddelanden eller en maskinvarutoken.
Push-meddelanden
Vissa appar och tjänster använder push-meddelanden för att autentisera användare. I dessa fall får en person ett meddelande på telefonen där de uppmanas att godkänna eller avvisa åtkomstbegäran. Eftersom användare ibland kan råka godkänna push-meddelanden trots att de försöker logga in på tjänsterna som skickade meddelandet kombineras den här metoden ibland med en OTP-metod. Med OTP genererar systemet ett unikt nummer som användaren måste ange. Det ger autentiseringen ett ökat skydd mot nätfiske.
Röstbaserad autentisering
Vid en röstbaserad autentisering får personen som försöker få åtkomst till en tjänst ett telefonsamtal där de ombeds ange en kod eller identifiera sig med rösten.
Multifaktorautentisering
Ett av de bästa sätten att undvika kompromettering av konton är att kräva två eller fler autentiseringsmetoder, vilket kan vara vilka som helst av tidigare nämnda metoder. En effektiv metod är att kräva två av följande alternativ:
- Något som användaren känner till, vanligtvis ett lösenord.
- Något som användaren har, till exempel en betrodd enhet som inte är enkel att imitera, som en telefon eller en maskinvarutoken.
- Något som användaren är, till exempel ett fingeravtryck eller en ansiktsskanning.
Många organisationer ber till exempel om ett lösenord (något som användaren känner till) och skickar även ett engångslösenord (OTP) via SMS till en betrodd enhet (något som användaren har) innan de beviljar åtkomst.
Tvåfaktorautentisering
Tvåfaktorautentisering är en typ av multifaktorautentisering som kräver två former av autentisering.
Även om autentisering (kallas ibland AuthN) och auktorisering (kallas ibland AuthZ) ofta används synonymt och är relaterade till varandra är det två skilda saker. Autentisering bekräftar att användarna som loggar in är de som de utger sig för att vara medan auktorisering bekräftar att de har rätt behörighet för att få åtkomst till informationen de vill ha. Någon som arbetar på personalavdelningen kan till exempel ha åtkomst till känsliga system som lönelistor eller personalfiler som personal på andra avdelningar inte har åtkomst till. Både autentisering och auktorisering är viktigt för att möjliggöra ett effektivt arbete och skydda känsliga data, immateriella rättigheter och sekretess.
Metodtips för säker autentisering
Eftersom kompromettering av konton är ett vanligt sätt för angripare att få åtkomst till ett företags resurser är det viktigt att ha en stark autentisering. Här är några saker du kan göra för att skydda din organisation:
-
Implementera multifaktorautentisering
De viktigaste du kan göra för att minska risken för att konton komprometteras är att aktivera multifaktorautentisering och kräva minst två autentiseringsfaktorer. Det är mycket svårare för angriparna att komma åt data om du använder flera autentiseringsmetoder, särskilt om en av dem är biometrisk autentisering eller något som användaren har i sin ägo, till exempel en enhet. För att göra det så enkelt som möjligt för medarbetarna, kunderna och partner kan du ge dem möjligheten att välja bland flera olika faktorer. Det är dock viktigt att påpeka att alla autentiseringsmetoder inte är likvärdiga. Vissa är säkrare än andra. Det är till exempel bättre än ingenting att få ett SMS, men ett push-meddelande är säkrare.
-
Sluta använda lösenord
När du har konfigurerat multifaktorautentisering kan du också välja att begränsa användningen av lösenord och uppmuntra användarna att använda två eller flera andra autentiseringsmetoder, till exempel en PIN-kod och biometri. Att minska användningen av lösenord och sluta använda lösenord effektiviserar inloggningsprocessen och minskar risken för att konton komprometteras.
-
Använd lösenordsskydd
Förutom personalutbildning finns det verktyg som du kan använda för att minska användningen av lättgissade lösenord. Med lösningar för lösenordsskydd kan du förbjuda vanliga lösenord som Password1. Och du kan skapa en egen lista som är specifik för ditt företag eller din region, till exempel namn på lokala idrottsföreningar eller landmärken.
-
Aktivera riskbaserad multifaktorautentisering
Vissa autentiseringshändelser är indikatorer på en kompromettering, till exempel när en medarbetare försöker få åtkomst till ditt nätverk från en ny enhet eller ovanlig plats. Andra inloggningshändelser kan vara vanliga men ändå innebära högre risk, till exempel när någon på personalavdelningen behöver få åtkomst till personligt identifierbar information. För att minska risken ska du konfigurera din lösning för identitets- och åtkomsthantering (IAM) så att det krävs minst två autentiseringsfaktorer när den här typen av händelser identifieras.
-
Prioritera användbarheten
För att få ett effektivt skydd krävs att medarbetarna och andra intressenter är med på tåget. Säkerhetsprinciper kan förhindra att medarbetare gör riskfyllda saker online, men om principerna är för jobbiga att följa kanske de hittar ett sätt att kringgå dem. De bästa lösningarna är utformade så att de känns rimliga för användarna. Distribuera funktioner som lösenordsåterställning med självbetjäning så att användarna inte behöver kontakta kundtjänst om de glömmer sitt lösenord. Användarna blir också mer motiverade att använda starka lösenord om de vet att det är enkelt att återställa det. Att låta användarna välja autentiseringsmetod är ett annat bra sätt att underlätta deras inloggning.
-
Distribuera enkel inloggning
Enkel inloggning (SSO) är en bra och användarvänlig funktion som ökar säkerheten. Ingen gillar att behöva ange lösenord varje gång man byter app och det kan göra att man använder samma lösenord för flera konton för att spara tid. Med enkel inloggning behöver medarbetarna bara logga in en gång för att få åtkomst till de flesta, eller alla appar, de använder på jobbet. Det minskar friktionen och gör att du kan använda universella eller villkorsstyrda säkerhetsprinciper, till exempel multifaktorautentisering, för alla program som medarbetarna använder.
-
Använd principen om minst privilegierad åtkomst
Begränsa antalet privilegierade konton baserat på roller och ge medarbetarna endast den behörighet de behöver för att utföra sitt arbete. Med hjälp av åtkomstkontroll kan du se till att bara ett begränsat antal personer har åtkomst till viktiga data och system. När någon behöver utföra en känslig uppgift kan du använda Privileged Access Management, till exempel just-in-time-aktivering med tidsintervall, för att ytterligare minska risken. Du kan också kräva att administrativa uppgifter endast kan utföras på mycket säkra enheter, inte de datorer som personalen använder i det dagliga arbetet.
-
Förutsätt intrång och utför regelbundna granskningar
I många organisationer ändras personalens roller och anställningsform regelbundet. Medarbetare kan lämna företaget eller byta avdelning. Partner kan ansluta till och lämna projekt. Det kan uppstå problem om åtkomstreglerna inte hänger med. Det är viktigt att personalen inte behåller åtkomsten till system och filer som de inte längre behöver för att utföra sitt arbete. För att minska risken att en angripare kommer åt känslig information kan du använda en identitetsstyrningslösning som hjälper dig att regelbundet granska dina konton och roller. Dessa verktyg bidrar också till att säkerställa att personalen endast har åtkomst till det som de behöver och att kontona för de som har lämnat organisationen inte längre är aktiva.
-
Skydda identiteter mot hot
Lösningar för identitets- och åtkomsthantering erbjuder många verktyg som hjälper dig att minska risken för att konton komprometteras, men det är fortfarande en god idé att förekomma intrång. Även välutbildad personal faller ibland offer för nätfiskebedrägerier. För att fånga ett komprometterat konto tidigt kan du investera i lösningar för skydd mot identitetshot och implementera principer som hjälper dig att upptäcka och åtgärda misstänkt aktivitet. Många moderna lösningar, till exempel Microsoft Copilot for Security, använder AI för att inte bara identifiera hot utan automatiskt svara på dem.
Lösningar för molnautentisering
Autentisering är viktigt både för att få ett starkt cybersäkerhetsprogram och för att öka medarbetarnas produktivitet. En omfattande molnbaserad lösning för identitets- och åtkomsthantering som Microsoft Entra ger dig verktyg för att hjälpa medarbetarna att få det som de behöver för att göra sitt jobb och samtidigt använda kraftfulla kontroller som minskar risken att angripare komprometterar ett konto och får åtkomst till känsliga data.
Mer information om Microsoft Security
Microsoft Entra ID
Skydda organisationen med identitets- och åtkomsthantering (kallades tidigare Azure Active Directory).
Microsoft Entra ID Governance
Säkerställ automatiskt att rätt personer har rätt åtkomst till rätt appar vid rätt tidpunkt.
Microsoft Entra – behörighetshantering
Få en enhetlig lösning för att hantera behörigheter för valfri identitet i din infrastruktur med flera moln.
Vanliga frågor och svar
-
Det finns många olika typer av autentisering. Några exempel:
- Flera personer loggar in på sina telefoner med ansiktsigenkänning eller ett tumavtryck.
- Banker och andra tjänster kräver ofta att användarna ska logga in med ett lösenord och en kod som skickas automatiskt via SMS.
- Vissa konton kräver bara ett användarnamn och ett lösenord, men många organisationer övergår till att använda multifaktorautentisering för att öka säkerheten.
- Anställda loggar ofta in på datorn och får åtkomst till flera olika appar samtidigt, vilket kallas enkel inloggning.
- Det finns också konton som låter användarna logga in med ett Facebook- eller Google-konto. I så fall ansvarar Facebook, Google eller Microsoft för att autentisera användaren och skicka auktorisering till den tjänst som användaren vill komma åt.
-
Molnautentisering är en tjänst som bekräftar att endast rätt personer och appar med rätt behörigheter kan få åtkomst till molnnätverk och -resurser. Många molnappar har en inbyggd autentisering som är molnbaserad, men det finns också bredare lösningar, till exempel Azure Active Directory, som är utformade för att hantera autentisering i flera molnappar och -tjänster. Dessa lösningar använder vanligtvis SAML-protokollet så att en autentiseringstjänst kan användas för flera konton.
-
Även om autentisering och auktorisering ofta används synonymt och är relaterade till varandra är det två skilda saker. Autentisering bekräftar att användarna som loggar in är de som de utger sig för att vara medan auktorisering bekräftar att de har rätt behörighet för att få åtkomst till informationen de vill ha. Tillsammans minskar autentiseringen och auktoriseringen risken för att en angripare ska få åtkomst till känsliga data.
-
Autentisering används för att verifiera att personer och entiteter är de som de utger sig för att vara innan de får åtkomst till digitala resurser och nätverk. Det primära målet för moderna autentiseringslösningar är att öka säkerheten, men de är också utformade för att förbättra användbarheten. Många organisationer implementerar till exempel lösningar för enkel inloggning för att göra det enklare för medarbetarna att hitta det som de behöver för att utföra sitt arbete. Konsumenttjänster låter ofta användarna logga in med sitt Facebook-, Google- eller Microsoft-konto för att få en snabbare autentiseringsprocess.
Följ Microsoft