Rask innføring
USIT, IT-avdelingen på UiO, har denne våren jobbet intensivt med å gjøre klar for økt sikkerhet for alle UiOs IT-brukere og for UiO. – Den gode nyheten er at nå øker vi sikkerheten for IT-systemene på UiO. Vi er allerede i kjent for å være i front på IT-sikkerhet i sektoren, og nå innfører vi et nytt lag i sikkerhetsprosessene, nemlig tofaktorautentisering. Innføring av krav om tofaktorautentisering vil i første omgang kun gjelde kun for pålogging til Microsoft 365, altså de nettbaserte produktene fra Microsoft, som Teams og OneDrive, forklarer prosjektleder Frank Paul Silye.
Hva er tofaktorautentisering?
Tofaktorautentisering er noe som de fleste av oss allerede bruker, for eksempel i forbindelse med kontakt med offentlige kontorer og banktjenester. Kort fortalt er dette en mer sikker måte bekrefte hvem man er på. Det er ikke lenger nok å oppgi et passord. Du må bruke to faktorer:
Noe du vet, altså passordet ditt, og noe du har, altså mobiltelefonen din.
Andre faktorer som fingeravtrykk og annet kan også brukes, men på UiO er det valgt pålogging med passord sammen med en bekreftelseskode i en app på mobilen.
Tidsplan for innføringen på UiO
Den nye løsningen har vært prøvd ut på de IT-ansatte siden 9. mars, og resten av UiO står nå for tur. Teologisk fakultet er først ut allerede 6. april, og så innfører de andre løsningen etter tur i tiden fram til 5. mai. Husk at det i denne omgang kun gjelder for pålogging til Microsoft 365, ikke alle IT-tjenester eller pålogging på datamaskiner eller annet. Andre tjenester vil følge etter, men da er du allerede vant til det.
Hva skjer?
– Endringen består i at du nå framover også må bruke mobilen når du skal logge på. Det fungerer omtrent som med BankID på mobil, som de fleste kjenner. Vi logger inn, og får en melding på mobilen om å bekrefte påloggingen, forteller prosjektleder Silye. – Men første gang du skal logge inn med tofaktorautentisering, er det litt annerledes. Du må installere godkjenningsapp på mobilen og koble sammen appen med Microsoft-påloggingen din. Det gjør du ved å skanne en QR-kode med appen på mobilen. Dette har vi gode veiledninger for. Etter første pålogging, vil du ikke merke noe nytt før etter 30 dager, da du blir bedt om å bekrefte pålogging når du skal bruke Teams eller et annet MS365-produkt. Da piper telefonen og du bare trykker på «godkjenn» i appen. Du vil bli bedt om en slik godkjenning hver 30. dag, eller nærmeste pålogging etter 30 dager, avslutter han.
Anbefalt metode for tofaktorautentisering er å bruke mobiltelefonen, slik det beskrives over, men det er også mulig å å installere et program på datamaskinen og utføre autentiseringen derfra.
En enkel måte å sikre oss på
UiOs IT-sikkerhetssjef, Espen Grøndahl, er prosjekteier for innføringen av tofaktorautentisering på UiO. Han forklarer at det er gode grunner til at du nå må bekrefte at det faktisk er du som forsøker å logge inn. – Bare passord er faktisk ikke tilstrekkelig trygt. Når vi nå innfører to faktorer, altså passord og bekreftelse fra en annen enhet, blir det mye vanskeligere for angripere å komme innenfor. Passord kan gjettes med hackerverktøy (brute force), eller de kan lekkes ved en feil. Nå blir ikke det lenger nok til at uvedkomne kan få tilgang til dine og mine data, eller misbruke UiOs IT-infrastruktur, sier Grøndahl.
Han forteller at det ofte er snakk om at det er fire måter et passord kan komme på avveie på:
- Lekkasje av passord fra et nettsted,
- Skadevare på datamaskiner hvor brukernavn og passord plukkes opp,
- Man in the middle-angrep - hvor noen plukker opp brukernavn og passord mellom deg og den tjenesten du logger deg på, og
- Phishing-angrep - når noen lurer deg til å oppgi passord på galt sted (typisk gjennom e-post)
Felles for disse angrepsmetodene er at de ikke kan brukes så lenge det kreves to faktorer for pålogging. Om en angriper skulle få tak i passordet ditt med en av disse metodene, får han ikke tak i mobilen din, og da kan han ikke bruke passordet til noe.
Veien videre
Grøndahl er glad for at vi nå er godt i gang med å innføre ekstra påloggingssikkerhet. Men er det bare for Microsoft 365-påloggingen? – Nei, absolutt ikke. Det er der vi begynner. Før sommeren kommer det tofaktor på innlogging til først en del tjenester med Feide-innlogging og deretter på e-posten vår. Vi prøver å ta det litt etter hvert, slik at ikke all belastningen kommer samtidig. Vi venter ikke at mange vil få problemer, men vi ønsker at de fleste er i gang med tofaktorautentisering før vi legger det på e-posten, siden det er et av de viktigste arbeidsverktøyene våre. Det kommer god og grundig informasjon om når og hvordan det innføres tofaktorautentisering på de andre tjenestene. – Andre universiteter har innført tofakorautentisering uten at det medførte mye henvendelser til support, så da er jeg sikker på at vi greier det her på UiO også, avslutter IT-sikkerhetssjefen.
Vil du vite mer?
Tofaktorautentisering er nå en IT-tjeneste på UiO, så du finner informasjon og veiledninger på IT-tjenstesidene. For å gjøre det enkelt, har innføringsprosjektet laget en snarvei dit som heter uio.no/tofaktor. For å få den beste brukeropplevelsen når du nå framover skal bekrefte pålogging med en app på mobilen, anbefaler innføringsprosjektet at du leser veiledningen og gjør innstillingene som anbefales der. Da slipper du å bekrefte med en kode, men trenger bare på trykke på «Godkjenn» i appen på mobilen.