MFA(MFA)
Angleški izraz: Multi-Factor Authentication
Način prijave, ki poleg gesla zahteva še en dokaz identitete — najpogosteje potrditev v aplikaciji na telefonu.
Kaj pomeni MFA?
MFA (Multi-Factor Authentication) je avtentikacijski postopek, pri katerem uporabnik svojo identiteto dokaže z dvema ali več neodvisnimi dokazi. Klasično so to: nekaj, kar veš (geslo), nekaj, kar imaš (telefon, varnostni ključ), in nekaj, kar si (prstni odtis, obraz).
V poslovni rabi prevladuje kombinacija gesla in potrditve v avtentikacijski aplikaciji (na primer Microsoft Authenticator, Google Authenticator). SMS sporočila so zaradi tveganja prevzema telefonske številke (SIM swap) manj varna izbira, a še vedno boljša kot samo geslo.
MFA in 2FA sta pogosto uporabljena kot sopomenki. Strogo gledano je 2FA podmnožica MFA, kjer sta uporabljena natančno dva faktorja.
Zakaj je to pomembno za podjetja?
Velika večina uspešnih vdorov v poslovne sisteme se zgodi preko ukradenih ali ugibanih gesel. MFA to napadno pot v praksi prekine — tudi če napadalec pozna geslo, brez drugega faktorja prijave ne more zaključiti.
Microsoft in drugi ponudniki objavljajo, da MFA prepreči preko 99 % tovrstnih napadov. To je razmerje med vloženim trudom in dobljeno varnostjo, kakršnega v IT okolju redko najdemo.
Kje se to pojavi v praksi?
Tipična uporaba: prijava v Microsoft 365 (Outlook, Teams, SharePoint) zahteva poleg gesla še potrditev v Microsoft Authenticator aplikaciji. Pri prijavi z znane naprave v pisarni se MFA ne sproži, pri prijavi iz tujine ali z nove naprave pa da. To določijo pravila Conditional Access.
Drugi pogost primer: VPN povezava v podjetje zahteva geslo in TOTP kodo iz aplikacije. Tudi če nekdo ukrade prenosnik in geslo, brez sodelavčevega telefona v notranje omrežje ne pride.
Najpogostejše težave ali napake
Najpogostejša napaka je delna uvedba — MFA imamo, a ne za vse uporabnike, ne za vse storitve in ne za skrbniške račune. Skrbniški računi brez MFA so prva tarča napadov.
Druga pogosta težava: MFA preko SMS-ov za skrbniške račune. Napadalci preko prevzema telefonske številke (SIM swap) tak MFA obidejo. Za pomembne račune so primernejše aplikacije ali strojni varnostni ključi (FIDO2).
Tretja napaka: pomanjkanje načrta za primer izgube telefona. Brez urejene rezervne metode (na primer rezervne kode) lahko en izgubljen telefon povzroči, da uporabnik dneve ne pride v sistem.
Kako pri tem pomaga VitalIT
Pri VitalIT pomagamo podjetjem urediti MFA tako, da je varno, hkrati pa ne moti vsakdanjega dela. Pri obstoječih okoljih najprej preverimo, kje MFA že teče in kateri računi so še izpostavljeni.
V praksi vključimo MFA v Microsoft 365, postavimo smiselna pravila Conditional Access (na primer 'brez MFA samo v pisarni'), pripravimo navodila za uporabnike in poskrbimo za postopek ob izgubi telefona. Rešitve prilagodimo dejanskemu okolju in dogovoru s stranko.
Sorodni izrazi
Povezane storitve
Pogosta vprašanja
- Ali MFA močno upočasni delo sodelavcev?
- V dobro postavljenem okolju ne. Z ustreznimi pravili (Conditional Access) se MFA sproži samo v situacijah z višjim tveganjem — pri prijavi z neznane naprave ali iz tuje države. Vsakdanja prijava v pisarni ostane preprosta.
- Ali je SMS MFA dovolj?
- Za navadnega uporabnika je SMS bistveno bolje kot nič. Za skrbniške in poslovno kritične račune SMS ne priporočamo — napadalci preko prevzema telefonske številke ta način obidejo. Bolje uporabiti aplikacijo ali fizični varnostni ključ.
- Kaj se zgodi, če sodelavec izgubi telefon?
- Z urejenim postopkom (rezervne kode, drugi naprava ali skrbnik) lahko skrbnik MFA na računu pobriše in uporabnik ga nastavi na novo napravo. Brez postopka lahko izguba telefona pomeni nekaj dni brez dostopa do delovnih storitev.
- Ali je MFA nujna pri vseh storitvah?
- Pri Microsoft 365, VPN, dostopu do strežnikov in vseh skrbniških računih da. Pri internih storitvah, ki niso dosegljive iz interneta, je smiselno presoditi tveganje — pogosto je MFA tudi tam koristna, čeprav ne nujna.