Multifaktorgodkendelse (MFA) er ikke længere blot en sikkerhedsanbefaling til store virksomheder. Det er en af de mest praktiske måder for virksomheder at reducere risikoen for kontoovertagelse og gøre stjålne adgangskoder mindre anvendelige. Efterhånden som adgangen til virksomhedssystemer spredes over sky-apps, eksterne team, delte enheder og tredjepartsplatforme, bliver MFA et stadigt mere nyttigt værktøj.

Men under implementeringen står IT-administratorer over for udfordringen med at kunne vurdere, om MFA er nyttig eller effektiv. At få MFA til at fungere på tværs af en organisation kræver mange beslutninger: Hvilke konti har brug for det først? Hvilke MFA-metoder skal tillades? Hvordan undgår De modstand fra medarbejderne? Hvordan sikrer De, at MFA rent faktisk håndhæves og ikke blot opfordres til?

Denne vejledning er skrevet for at hjælpe Deres virksomheds MFA-implementering med at lykkes. Den forklarer, hvad MFA er, hvorfor adgangskoder alene ikke længere er nok, hvordan almindelige MFA-metoder måler sig med hinanden til erhvervsbrug, og hvordan De udruller MFA på en måde, som Deres team kan tage til sig. Den viser også, hvordan en adgangskodeadministrator til virksomheder med indbygget 2FA-support kan gøre stærkere godkendelsesmetoder lettere at administrere i stor skala.

Hvad er multifaktorgodkendelse?

Hvorfor adgangskoder alene ikke længere er tilstrækkelige

Typer af MFA og forretningsmæssige kompromiser

Hvor MFA-implementering slår fejl

Problemet med medarbejdermodstand

Sådan udrulles MFA i Deres virksomhed

Sådan gør Proton Pass for Business MFA administrerbar

Hvad er multifaktorgodkendelse?

MFA is a security process that requires more than one type of identity verification to access an account. Instead of relying only on a traditional password, MFA asks for an additional factor that makes unauthorized access harder.

De tre almindelige godkendelsesfaktorer er:

  • Noget, De ved, såsom en adgangskode eller PIN-kode.
  • Noget, De har, såsom en telefon, godkender-app, hardwaresikkerhedsnøgle eller en betroet enhed.
  • Noget, De er, såsom et fingeraftryk eller ansigtsgenkendelse.

I praksis betyder MFA normalt, at en medarbejder indtaster en adgangskode og derefter bekræfter sit login via en anden metode, såsom en tidsbaseret kode (eller TOTP), push-godkendelse, en adgangsnøgle eller en hardwarenøgle. Målet er enkelt: Hvis en adgangskode stjæles, gættes, phishes eller genbruges, har angriberen stadig brug for en anden faktor for at slippe ind.

Multifaktorgodkendelse i virksomhedsmiljøer

For virksomheder er implementering af MFA en måde at styrke kontosikkerheden på med en yderligere adgangskontrol, ikke blot at erstatte adgangskoder. I virksomhedsmiljøer er udfordringen at beslutte, hvor disse metoder er mest nødvendige, og hvordan de udrulles konsekvent på tværs af forskellige systemer, roller og risikoniveauer.

Ikke desto mindre er alle MFA-metoder ikke lige stærke. En kode sendt via SMS er bedre end en adgangskode alene, men den giver ikke den samme beskyttelse som en hardwaresikkerhedsnøgle eller en velimplementeret adgangsnøgle. Det rigtige valg afhænger af risiko, brugervenlighed, enhedsadgang, compliance-krav, og hvor meget administrativ kontrol Deres virksomhed kan opretholde.

Hvorfor adgangskoder alene ikke længere er tilstrækkelige

Stærke adgangskoder betyder stadig noget, men de er ikke længere nok i sig selv. Medarbejdere administrerer flere konti end nogensinde før, og angribere ved, at virksomhedsadgang ofte begynder med én kompromitteret legitimationsoplysning.

En adgangskode kan blive afsløret via phishing, malware(nyt vindue), databrud, credential stuffing, genbrug af adgangskoder eller usikker deling. Når først angribere har et gyldigt brugernavn og en adgangskode, kan deres aktivitet ligne et normalt loginforsøg, medmindre der kræves endnu et bekræftelseslag.

Det er grunden til, at beskyttelse mod databrud til virksomheder skal omfatte legitimationskontrol, endepunktssikkerhed og medarbejdertræning. En stærk adgangskodepolitik hjælper, men den kan ikke forhindre, at enhver stjålen adgangskode testes mod e-mail, skylagerplads, finansværktøjer, administratorportaler eller kundesystemer.

De økonomiske indsatser er høje. IBM’s Cost of a Data Breach Report fra 2025(nyt vindue) anslår de gennemsnitlige globale omkostninger ved et databrud til $4,4 millioner. MFA kan ikke eliminere risikoen for databrud, men det reducerer en af de mest almindelige veje ind i virksomhedssystemer: uautoriseret adgang via kompromitterede legitimationsoplysninger.

MFA er særligt vigtigt for konti, der kontrollerer andre konti. E-mail, identitetsudbydere, adgangskodeadministratorer, administratorkonsoller, udviklerplatforme, lønsystemer og finansielle systemer bør behandles med høj prioritet, fordi det at få adgang til dem kan låse op for yderligere adgang andre steder.

Typer af MFA og forretningsmæssige kompromiser

En god MFA-implementering starter med at vælge de rigtige metoder. Den bedste løsning er ikke altid den samme for enhver virksomhed, ethvert team eller system. IT-ansvarlige skal f.eks. balancere sikkerhedsstyrke, brugervenlighed for medarbejderne, tilgængelighed af enheder, administrative omkostninger og supportbehov.

SMS-engangsadgangskoder

SMS-engangsadgangskoder (OTP’er) sender en kode til et telefonnummer under login. Dette er en af de nemmeste MFA-metoder for medarbejdere at forstå, og den kan være nyttig, hvor bedre muligheder ikke er tilgængelige.

Ulempen er sikkerheden. SMS kan være sårbar over for SIM-swapping, aflytning, social engineering og angreb via gendannelse af telefonnumre. Det skaber også operationelle problemer, når medarbejdere skifter nummer, rejser internationalt, har dårlig dækning eller bruger personlige telefoner til arbejde.

For virksomheder betragtes SMS-OTP’er bedst som en nødløsning snarere end den foretrukne MFA-metode. Det er stadig bedre end adgangskoder alene, men det bør ikke være standarden for højrisikokonti.

Godkender-apps og TOTP-koder

Medarbejdere åbner en godkender-app, såsom Proton Authenticator, kopierer den kode, der er genereret til den tjeneste, de logger på, og indtaster den derefter under login.

Dette er normalt stærkere end SMS, fordi koden genereres på enheden og ikke afhænger af mobilnetværket. Det er også bredt understøttet på tværs af virksomhedsværktøjer, hvilket gør det til et praktisk udgangspunkt for mange MFA-udrulninger.

Kompromiset er brugervenlighed og gendannelse. Medarbejdere skal konfigurere appen korrekt, bevare adgangen til deres enhed og forstå, hvordan gendannelse fungerer, hvis en telefon mistes eller udskiftes. IT-team skal også oprette klare politikker for sikkerhedskopieringskoder, enhedsskift og offboarding.

TOTP fungerer godt som en generel MFA-metode til virksomheder, især når det parres med stærk adgangskodeadministration og klare administrative processer.

Hardwaresikkerhedsnøgler

Hardwaresikkerhedsnøgler, såsom YubiKeys, giver stærk godkendelse, fordi medarbejderen skal være i fysisk besiddelse af nøglen for at få adgang til virksomhedskonti. Mange sikkerhedsnøgler beskytter også mod phishing, fordi they bekræfter, at selve webstedet er legitimt, før godkendelsen fuldføres.

Til højrisikoroller kan hardwarenøgler være en af de stærkeste MFA-muligheder. De er især nyttige for administratorer, ledere, finansteam, udviklere og alle med adgang til følsomme systemer.

Kompromiset er kompleksiteten ved udrulning. Virksomheder skal købe nøgler, distribuere dem, træne medarbejdere, administrere sikkerhedskopier og håndtere mistede eller beskadigede enheder. En strategi med hardwarenøgler kræver også en gendannelsesproces, der ikke svækker sikkerhedsfordelen.

Adgangsnøgler

Adgangsnøgler bruger kryptografisk godkendelse i stedet for en traditionel adgangskode. I mange tilfælde låser medarbejderne adgangsnøglen op med et fingeraftryk, ansigtsgenkendelse, en PIN-kode eller enhedsgodkendelse. Den private nøgle forbliver på enheden, hvilket gør adgangsnøgler mere modstandsdygtige over for phishing end mange ældre godkendelsesmetoder.

For virksomheder kan adgangsnøgler forbedre både sikkerhed og brugervenlighed. De reducerer afhængigheden af delte hemmeligheder og kan gøre login hurtigere for medarbejderne. Den største udfordring er økosystemets parathed. Det er endnu ikke alle virksomhedsværktøjer, der understøtter adgangsnøgler, og IT-team har brug for politikker for enhedsregistrering, gendannelse, delte arbejdsstationer og offboarding af medarbejdere.

For mange organisationer er den praktiske løsning en hybridmodel: brug adgangsnøgler, hvor det understøttes, behold stærke adgangskoder og MFA, hvor det stadig kræves, og administrer begge dele gennem klare adgangspolitikker.

MFA-metodeSikkerhedsstyrkeEgnethed til erhvervsbrugBedste anvendelsesscenarie
SMS-OTPGrundlæggendeNem at tage i brug, men svagere end andre MFA-metoderFallback-løsning, når stærkere MFA ikke er tilgængelig
Godkender-appsModerat til stærkPraktisk standard for mange teamsErhvervskonti til hverdagsbrug og SaaS-værktøjer
HardwaresikkerhedsnøglerMeget stærkBedst til højrisikoroller, men kræver administration af enhederAdministratorer, direktører, finansteam og følsomme systemer
AdgangsnøglerMeget stærkSikker og brugervenlig, hvor det understøttesModerne apps, adgangskodefrie arbejdsgange og phishing-resistent adgang

Hvor implementering af MFA fejler

MFA kan stadig fejle, selvom en virksomhed har implementeret det. Kvaliteten af implementeringen betyder faktisk lige så meget som selve MFA-metoden. Nogle af årsagerne til fejl kan omfatte:

  • Svag genoprettelse. Hvis medarbejdere kan omgå MFA via nem kontogenoprettelse, genveje hos helpdesk eller dårligt beskyttede sikkerhedskopikoder, vil angribere muligvis gå efter nulstillingsprocessen i stedet for loginskærmen.
  • Inkonsekvent håndhævelse. MFA er måske aktiveret for nogle værktøjer, men valgfrit for e-mail, admin-konti, finansielle systemer, delte driftskonti eller visse medarbejdere. I den situation bliver MFA snarere en ambition end en kontrolforanstaltning, og angribere kan stadig lede efter den svageste tilgængelige sti.
  • Dårlig brugervenlighed. Hvis medarbejdere konstant bliver afbrudt, udelukket eller er usikre på, hvad de skal godkende, kan de blive frustrerede og have større sandsynlighed for at begå fejl. Push-træthed er et eksempel: Gentagne anmodninger om godkendelse kan vænne folk til at acceptere anmodninger uden at tænke sig om.

En stærk udrulning af MFA kræver håndhævelse, overvågning og support. Det bør være nemt for medarbejderne at gøre det rigtige og svært at lade vigtige konti være ubeskyttede.

Problemet med modstand fra medarbejdere

Modstand fra medarbejdere er en af de største barrierer for udrulning af MFA. Medarbejderne kan se det som et ekstra trin, en hindring for produktiviteten eller endnu en sikkerhedsregel tilføjet uden kontekst.

Denne reaktion is forståelig, især når MFA introduceres pludseligt eller med uklare instruktioner. Modstand skyldes ofte dårlig implementering, ikke modstand mod selve sikkerheden.

Løsningen på dette problem er at gøre MFA forudsigeligt og let at følge. Forklar medarbejderne, at det beskytter erhvervskonti, selvom en adgangskode bliver stjålet, start med velkendte værktøjer som e-mail og delte virksomhedsplatforme, giv klare konfigurationstrin, og yd support til medarbejderne ved udskiftning af enheder.

Undgå at fremstille MFA som en straf eller et tegn på mistillid. Det bør føles som en praktisk sikkerhedsforanstaltning for virksomheden, dens kunder og medarbejdernes egne arbejdskonti.

En politik for brug af egne enheder (BYOD) hjælper også. Hvis medarbejdere bruger personlige enheder til arbejdet, vil klare regler for godkendelses-apps, enhedssikkerhed, rapportering af mistede enheder og tilbagekaldelse af adgang gøre udrulningen af MFA mere smidig.

Sådan udruller De MFA i Deres virksomhed

En vellykket udrulning af MFA er et forandringsledelsesprojekt. IT-ansvarlige skal beslutte, hvad der skal beskyttes først, hvordan håndhævelsen skal fungere, hvordan undtagelser skal håndteres, og hvordan ibrugtagningen skal måles.

Trin 1: Kortlæg Deres konti og risikoniveauer

Begynd med en oversigt over adgange. Identificer de systemer, som Deres virksomhed afhænger af, og de konti, der udgør den største risiko, hvis de bliver kompromitteret.

Prioriter:

  • E-mail- og identitetsudbyderkonti.
  • Admin-konti og privilegerede roller.
  • Adgangskodeadministratorkonti.
  • Finans-, løn- og faktureringsværktøjer.
  • Skylagring og fildeling.
  • Udvikler-, infrastruktur- og produktionssystemer.
  • Kundedataplatforme og CRM-systemer.

Dette skaber en udrulningsrækkefølge for Deres virksomhed, som er baseret på risiko snarere end bekvemmelighed.

Trin 2: Vælg godkendte MFA-metoder

Beslut, hvilke MFA-metoder Deres virksomhed vil tillade. For mange teams vil godkender-apps eller adgangsnøgler muligvis blive standarden, mens hardwarebaserede sikkerhedsnøgler er forbeholdt højrisikoroller. SMS kan forblive en fallback-løsning, hvor det er nødvendigt, men bør ikke være den foretrukne metode til følsomme systemer.

Dokumenter beslutningen tydeligt. Medarbejderne bør vide, hvilke metoder der er godkendt, hvilke der frarådes, og hvad de skal gøre, hvis de mister en enhed.

Trin 3: Kør et pilotprojekt, før det håndhæves overalt

Kør et pilotprojekt med IT, drift, finans, ledelse eller en anden gruppe, der kan give nyttig feedback. Målet er at teste konfigurationsprocessen, supportdokumentationen, genoprettelsesforløb og politikindstillinger, før udrulningen når ud til hele organisationen.

Et pilotprojekt hjælper også med at identificere, hvor MFA-anmodninger er for hyppige, hvor medarbejderne har brug for tydeligere instruktioner, og hvilke systemer der kræver særlig håndtering.

Trin 4: Håndhæv MFA for højrisikokonti først

Opfordringer er ikke nok for kritiske systemer. Når pilotprojektet er afsluttet, skal De håndhæve MFA for de konti, der udgør den største risiko.

Dette omfatter admin-konti, e-mail, identitetssystemer, adgangskodeadministratorer og økonomiske værktøjer. Hvis disse konti forbliver valgfrie, kan angribere stadig finde en sti ind i virksomheden.

Nøglen er at håndhæve med support. Giv medarbejderne besked i god tid, konfigurationsvejledninger, kontortid og genoprettelsesinstruktioner. Håndhævelse fungerer bedst, når folk ikke bliver overrasket over det.

Trin 5: Udvid til resten af organisationen

Når højrisikokonti er beskyttet, kan De udvide MFA til de resterende virksomhedsværktøjer. Dette kan ske efter afdeling, værktøjskategori eller risikoniveau.

Følg ibrugtagningen undervejs:

  • Hvilke konti har MFA aktiveret?
  • Hvilke medarbejdere har ikke tilmeldt sig?
  • Hvilke systemer tillader stadig adgang udelukkende med adgangskode?
  • Hvilke undtagelser er åbne, og hvem ejer dem?

En adgangskodeadministrator til virksomheder kan understøtte denne proces ved at give teams overblik over, hvilke konti der allerede har MFA aktiveret, og hvilke der stadig har brug for stærkere godkendelse.

Det er her, mange udrulninger går i stå eller mislykkes. MFA kræver løbende styring efter udrulningsdatoen.

Trin 6: Gennemse undtagelser og gendannelsesstier

Enhver undtagelse bør have en ejer, en årsag og en udløbsdato. Hvis MFA ikke kan aktiveres for et værktøj, skal De dokumentere hvorfor og beslutte, om en kompenserende kontrolforanstaltning er nødvendig.

Gendannelse fortjener også regelmæssig gennemgang. Sikkerhedskopieringskoder, kontogendannelsesforløb, admin-tilsidesættelser og enhedsnulstillinger kan blive svage punkter, hvis de ikke kontrolleres. MFA-implementering bør gøre gendannelse sikker, ikke blot praktisk.

Sådan gør Proton Pass for Business MFA nemt at administrere

MFA-udrulning bliver nemmere, når administration af legitimationsoplysninger allerede er under kontrol. Hvis adgangskoder genbruges, deles uformelt, gemmes i browsere eller er spredt i regneark, bliver MFA sværere at gennemtvinge konsekvent.

En adgangskodeadministrator til virksomheder som Proton Pass for Business hjælper ved at gøre mere end blot at styrke adgangskodelaget. Den kan også understøtte den anden faktor direkte. Den indbyggede 2FA-understøttelse betyder, at teams kan gemme TOTP-koder sikkert og bruge selve adgangskodeadministratoren som MFA-enhed, hvilket gør stærkere godkendelse nemmere at indføre og nemmere at dele sikkert, hvor det er relevant. Medarbejdere kan generere stærke, unikke adgangskoder, gemme dem i krypterede bokse, autofylde loginoplysninger, bruge indbygget 2FA-understøttelse til TOTP-koder og administrere adgangsnøgler, hvor det understøttes.

Dette forbedrer også synligheden. Administratorer har ikke kun brug for at vide, om medarbejderne har stærke adgangskoder, men også hvilke konti der allerede har 2FA aktiveret, og hvilke der stadig udelukkende benytter adgangskode. Proton Pass kan help IT-admins med at bringe disse oplysninger frem i lyset, hvilket gør ibrugtagningen af MFA nemmere at følge på tværs af organisationen.

Adgangsnøgler er også en vigtig overvejelse. Efterhånden som virksomheder bevæger sig mod stærkere, phishing-resistent godkendelse, hjælper en adgangskodeadministrator, der understøtter adgangsnøgler, som Proton Pass, teams med at administrere både traditionelle MFA-forløb og nyere adgangskodefrie metoder på ét sted. Det gør udrulningen mere praktisk i blandede miljøer, hvor nogle systemer stadig bruger adgangskoder og TOTP, mens andre er klar til adgangsnøgler.

For IT-teams understøtter Proton Pass for Business centraliseret administration, politikker, sikker deling og synlighed via rapportering og logfiler. Det gør MFA mere operationelt realistisk, fordi teams kan reducere spredningen af adgangskoder, samtidig med at stærkere godkendelse bliver nemmere at udrulle og styre på tværs af organisationen.

En adgangskodeadministrator til virksomheder erstatter ikke MFA. Den gør MFA meget nemmere at implementere, fordi den styrker den første faktor, understøtter den anden og generelt giver virksomheden en mere overskuelig sti mod stærkere godkendelse.