Her er flere måter å sikre innlogging på slik at phishing IKKE kan brukes for å få tilgang til virksomhet eller tjenester.
- Krev FIDO2-autentisering
FIDO2 (Fast Identity Online 2) er en standard for autentisering som, gjennom design, sikrer mot phishing. I FIDO2 bruker man passnøkler for å holde påloggingsnøkler, her opprettes en ny nøkkel for hver side. Disse passnøklene kan være fysiske, for eksempel USB-nøkler, TPM-chip på maskiner, eller bygd inn i mobiltelefoner. De kan også være heldigitale. For eksempel tilbyr mange passordmanagere nå også å opprette og håndtere passnøkler. Rent generelt er fysiske sikrere enn digitale, mens digitale er mer brukervennlige. Fysiske har også en høyere kostnad. Begge typene gir god beskyttelse mot phishing. - Kombiner passord med godkjent enhet
Bruk tradisjonell innlogging (brukernavn og passord), men krev at innloggingen kommer fra en godkjent enhet. Typisk vil man kjenne igjen godkjente enheter med bruk av sertifikater på enheten. Dette kan være en løsning man ordner selv, eller for eksempel innrullert eller registrert som i Microsofts løsning. Denne metode sikrer mot at angriper kommer seg inn i systemene dine, men har ulemper i form at behov for å vedlikeholde hvilke enheter som er godkjente. Metoden hindrer heller ikke at passord kommer på avveie. - Kombiner passord med godkjent IP
Bruk tradisjonell innlogging (brukernavn og passord), men krev at innloggingen kommer fra en godkjent lokasjon (IP). Typiske godkjente IPer vil da være kontornettverket ditt eller IP-adresser brukt om man kobler seg til via virksomhetens VPN. Åpning for alle norske IPer er ikke tilstrekkelig. NB! Vi har tidligere oppgitt at godkjente IP-er også kan være ansattes hjemmeIPer, det er nå tatt ut av anbefalingen på grunn av risikoen for at det kjører residential proxy-software på utstyr i hjemmet til den enkelte ansatte, samt bruk av CGNAT som gjør at mange husstander benytter samme IP-adresse. Metoden sikrer mot at angriper kommer seg inn i systemene dine, men har ulemper i form av vedlikeholdskostnad med IP-lister og at passord fortsatt kommer på avveie ved phishing.
Metodene kan også kombineres hvor man gir tilgang om innlogging kommer fra en godkjent IP, eller godkjent enhet eller med FIDO2-nøkkel.
Merk at vanlig Multifaktorautentisering hvor man matcher en kode IKKE sikrer mot phishing. Se eget webinar 04.10.2024 - Ut på fisketur for en beskrivelse av hvordan slik sikring nå rutinemessig omgås av angripere.
Merk også at alle disse metodene ikke krever at man i tillegg kombinerer med multifaktor (MFA). MFA er et bra tiltak mot en rekke trusler for eksempel at en PC hackes. MFA kreves ikke om det er phishing spesifikt man sikrer mot.
Relevante ressurser:
- Webinar 13.12.2024 om registrerte enheter og conditional access (Microsoft).
- Webinar 8.12.2023 om phishingresisten autentisering.
- AitM - tiltakspyramide
- Conditional Access - guider [spesifikt for M365]