BårdBård

Hvorfor tofaktorautentisering er viktig i styret

Begrepet kan høres irriterende teknisk ut, men er egentlig enkelt å forstå. Finn ut hvorfor du aldri bør ha en innlogging uten 2FA aktivert.

Skrevet av Stian Tønnesen · Medgründer Bård
Sist oppdatert: September 2024

2FA, eller tofaktorautentisering, er kort forklart en sikkerhetsmetode som krever to ulike former for identifikasjon for å logge inn. Det vanligste er at du først logger deg inn med et brukernavn og passord (faktor én), og så etterpå blir bedt om å oppgi en eller annen form for engangskode (faktor to).

Dette gir kontoen din et ekstra lag med sikkerhet ved å sikre at hvis noen får tak i brukernavnet og passordet ditt, så kan de fortsatt ikke logge seg på uten den andre faktoren.

Hvordan angripere prøver å utnytte kontoer uten 2FA

Hvis du fortsatt logger inn på en tjeneste uten å bruke 2FA risikerer du altså at noen andre kommer seg inn på kontoen din. Men hvordan gjør noen med skumle hensikter egentlig dette i praksis?

  1. Phishing-angrep: Angripere prøver å lure deg til å gi fra deg sensitiv informasjon ved å utgi seg for å være en pålitelig aktør.
  2. Passordlekkasjer: Datainnbrudd kan føre til at angripere får tilgang til millioner av brukernavn og passord, som ofte selges videre.
  3. Brute force-angrep: Angripere kan benytte seg av rambukk-metoden ved å gjette passordet ditt ved hjelp av en kraftig datamaskin. Dette er grunnen til at mange tjenester tvinger deg til å lage lange passord (lengre passord tar lenger tid å gjette).
  4. Key-logger: Et program som installeres på maskinen din – f.eks gjennom et vedlegg i en e-post – og som registrerer alle tastetrykk på maskinen.
  5. Zero day-sårbarheter: Angrep på ukjente svakheter i programvare kan gi angripere tilgang til sensitive data som brukernavn og passord.

E-postkontoer er spesielt utsatt for denne typen angrep, fordi de tillater en angriper å potensielt få tilgang til andre tjenester ved å bruke "glemt passord"-funksjonalitet og få tilsendt en lenke til å sette et nytt passord. Det er derfor essensielt å passe på at e-postkontoer alltid er sikret med 2FA.

Slik fungerer 2FA

2FA er et begrep som høres veldig teknisk ut. Men sannsynligvis har du brukt det mange ganger uten å tenke over det. Et godt eksempel er BankID. Når du logger inn i nettbanken, må du både oppgi fødselsnummeret ditt og et passord, pluss en kode fra BankID-appen.

Dette ekstra laget med sikkerhet gjør det altså tilnærmet umulig for uvedkommende å få tilgang til nettbanken din.

På samme måte fungerer også 2FA i andre systemer. Du logger inn med et passord, og bekrefter identiteten din med en engangskode du mottar på mobilen eller via en autentiseringsapp.

2FA via SMS

Etter at du har skrevet inn passordet ditt, mottar du en engangskode på mobilen som må tastes inn for å fullføre innloggingen. Denne metoden er enkel, men kan være sårbar dersom noen får tak i SIM-kortet ditt eller kan avlytte meldinger.

2FA via app

Med apper som Google Authenticator, Microsoft Authenticator eller ved hjelp av en passord manager-app som LastPass eller 1Password genereres en ny kode hvert 30. sekund. Dette er en enda sikrere metode enn SMS, fordi den er mindre sårbar for avlytting eller SIM-svindel.

Ved å beskytte kontoen med totrinnsautentisering har du gjort ditt for å beskytte styret sin informasjon fra uvedkommende.

Styret er ansvarlig

Når det kommer til styrearbeid forventes det naturligvis en høy grad av sikkerhet og personvern. I løpet av et styreår vil sensitiv informasjon sannsynligvis måtte behandles og dokumenteres, og aksjeloven stiller strenge krav til oppbevaring av referater fra styremøter.

Det er viktig at styret selv har et bevisst forhold til hvordan data lagres, og på hvilke tekniske plattformer styremedlemmene kommuniserer og deler dokumenter.

Lett å miste oversikten

Det er vanlig at filer fra styremøter fortsatt sendes på e-post eller ligger i delte mapper på f.eks. Microsoft Teams eller Dropbox. Samtidig kan dialog rundt styresaker skje på Messenger og Slack.

Dette er ikke nødvendigvis et problem, da det er mulig å oppnå en høy grad av sikkerhet også på disse systemene. Men det kan være vanskelig å ha oversikt over hvem som har tilgang til enhver tid, og utfordrende å vite hvilket nivå av sikkerhet hver enkelt bruker logger inn med på de ulike tjenestene.

Alt-i-ett plattform er en fordel

Med en styreportal som Bård får du en skreddersydd plattform for styret som ikke bare sørger for sikker innlogging, men også at all kommunikasjon og dokumentasjon er ivaretatt av systemet.

Som administrator i styreportalen har du til enhver tid full oversikt over hvilke brukere som har tilgang og hvilken innloggingsmetode de bruker. Ved å ha en dedikert plattform til styrearbeidet kan styret jobbe mer effektivt, og heller bruke tiden sin på å diskutere sakene enn å bekymre seg over sikkerheten.