Her er flere måter å sikre innlogging på slik at phishing IKKE kan brukes for å få tilgang til virksomhet eller tjenester.
- Krev FIDO2-autentisering
FIDO2 (Fast Identity Online 2)er en standard for autentisering som, gjennom design, sikrer mot phishing. I FIDO2 bruker man passnøkler for å holde påloggingsnøkler, her opprettes en ny nøkkel for hver side. Disse passnøklene kan være fysiske, for eksempel USB-nøkler, TPM-chip på maskiner, eller bygd inn i mobiltelefoner. De kan også være heldigitale. For eksempel tilbyr mange passordmanagere nå også å opprette og håndtere passnøkler. Rent generelt er fysiske sikrere enn digitale, mens digitale er mer brukervennlige, men begge typene gir perfekt beskyttelse mot phishing. - Kombiner passord med godkjent enhet
Bruk tradisjonell innlogging (brukernavn og passord), men krev at innloggingen kommer fra en godkjent enhet. Typisk vil man kjenne igjen godkjente enheter med bruk av sertifikater på enheten. Dette kan være en løsning man ordner selv, eller for eksempel innrullert som i Microsofts løsning. Denne metode sikrer mot at angriper kommer seg inn i systemene dine, men har ulemper i form at behov for å vedlikeholde hvilke enheter som er godkjente. Metoden hindrer heller ikke at passord kommer på avveie. - Kombiner passord med godkjent IP
Bruk tradisjonell innlogging (brukernavn og passord), men krev at innloggingen kommer fra en godkjent lokasjon (IP). Typiske godkjente IPer vil da være kontornettverket ditt, eller ansattes hjemmeIPer. For å gjøres på en trygg måte vil dette kreve at man opprettholder lister over hvilke IPer ansatte kommer fra. Åpning for alle norske IPer er ikke tilstrekkelig. Denne metode sikrer mot at angriper kommer seg inn i systemene dine, men har ulemper i form av vedlikeholdskostnad med IP-lister og at passord fortsatt kommer på avveie ved phishing.
Metodene kan også kombineres hvor man gir tilgang om innlogging kommer fra en godkjent IP, eller godkjent enhet eller med FIDO2-nøkkel.
Merk at vanlig Multifaktorautentisering hvor man matcher en kode IKKE sikrer mot phishing. Se eget webinar 04.10.2024 - Ut på fisketur for en beskrivelse av hvordan slik sikring nå rutinemessig omgås av angripere.
Merk også at alle disse metodene ikke krever at man i tillegg kombinerer med multifaktor (MFA). MFA er et bra tiltak mot en rekke trusler for eksempel at en PC hackes. MFA kreves ikke om det er phishing spesifikt man sikrer mot.
Relevante ressurser:
- Webinar 13.12.2024 om registrerte enheter og conditional access (Microsoft).
- Webinar 8.12.2023 om phishingresisten autentisering.
- AitM - tiltakspyramide
- Conditional Access - guider[spesifikt for M365]