Hem / Säkerhet & GDPR / Tvåfaktorsinloggning för företagets webbverktyg

Säkerhet & GDPR

Tvåfaktorsinloggning för företagets webbverktyg

Ett kapat lösenord räcker sällan ensamt om kontot dessutom kräver en andra bekräftelse. Här är en rutin för att aktivera tvåfaktor på e-post, adminpanel, domänkonto och lösenordshanterare utan att låsa ute det egna teamet.

De flesta intrång i mindre företags webbverktyg börjar med ett enda kapat lösenord, inte med en avancerad teknisk attack. Tvåfaktorsinloggning gör att ett stulet eller gissat lösenord inte längre räcker för att komma in, eftersom inloggningen även kräver en kod från en app, en säkerhetsnyckel eller i vissa fall ett sms. IMY skriver att autentiseringen ska anpassas efter risken och skydda åtkomsten till personuppgifter och system, och att stark autentisering tillsammans med säkra återställningsrutiner minskar risken för att ett kapat lösenord ger full åtkomst. Den här sidan går igenom var tvåfaktor ska aktiveras först, vad som ska dokumenteras och hur teamet undviker att låsa sig ute.

Vad tvåfaktorsinloggning faktiskt skyddar

Tvåfaktor skyddar mot precis den situationen där ett lösenord av någon anledning hamnat i fel händer, till exempel genom ett nätfiskemejl, ett återanvänt lösenord från en annan tjänst eller ett dataintrång hos en tredje part. Utan en andra bekräftelse ger det läckta lösenordet direkt åtkomst. Med tvåfaktor stoppas inloggningen tills även den andra faktorn bekräftats, vilket ger tid att upptäcka och byta det läckta lösenordet innan skada uppstår. NCSC lyfter fram stark autentisering och aktiv förvaltning av behörigheter som en av de rekommenderade säkerhetsåtgärderna, och betonar särskilt att höga behörigheter bör begränsas, skyddas extra och bara användas när det verkligen behövs. Där tjänsten stödjer det är säkerhetsnycklar och passkeys ofta ett säkrare alternativ än sms, eftersom CISA lyfter fram den typen av phishing-resistent tvåfaktor som mer motståndskraftig mot nätfiske och sim-swap-bedrägerier.

Snabb checklista: var ska tvåfaktor aktiveras först

Börja där konsekvensen av ett kapat konto är störst och arbeta neråt. En rimlig ordning för en vecka är:

  1. E-postkontot (huvudkonto och alias) – det är oftast vägen in för att återställa lösenord till alla andra tjänster.
  2. Adminpanelen för webbplatsen, till exempel CMS- eller e-handelsinloggningen, eftersom den ger direkt kontroll över innehåll och kunddata.
  3. Domänkontot hos registraren eller DNS-leverantören, som styr vart webbplats och e-post pekar (läs mer om att sätta upp e-post på egen domän på cronaweb.com).
  4. Lösenordshanteraren där teamet delar inloggningar till övriga verktyg.
  5. Hosting- eller serverkontrollpanelen, om den hanteras separat från CMS:et.

Utse en ansvarig för genomgången, sätt en tidsgräns på en till två veckor för hela listan, och dokumentera vilka konton som är klara i takt med att de aktiveras.

Risk, åtgärd och kontrollbevis

RiskÅtgärdKontrollbevisKälla
Kapat lösenord ger full åtkomst till adminpanelenAktivera tvåfaktor på samtliga konton med administratörsbehörighet, inte bara på huvudkontotSkärmdump eller logg från säkerhetsinställningarna, dateradNCSC
E-postkontot är nyckeln till återställning av andra tjänsterAktivera tvåfaktor på e-post före övriga tjänster, med app eller säkerhetsnyckel snarare än enbart smsBekräftelse i e-postleverantörens säkerhetsinställningarIMY
Domänkontot kapas och webbplats eller e-post omdirigerasAktivera tvåfaktor hos domänleverantören och lås domänen om leverantören erbjuder detNotering i domänpanelen samt dokumenterad lista över vem som har åtkomstNCSC
Delade generiska adminkonton gör det omöjligt att se vem som gjort en ändringGe varje person ett eget konto med egen tvåfaktor, avveckla delade kontonAktuell användarlista, uppdaterad vid personalbyteIMY
Ingen kan logga in om enda enheten med tvåfaktor tappas bortSpara backup-koder säkert och testa återställningsflödet innan det behövsDokumenterat återställningstest med datumNCSC

Rutin för små team: roller, undantag och när ni bör be om hjälp

I ett litet team räcker det sällan med en enda person som vet hur allt hänger ihop. Utse en huvudansvarig för inloggningar och en reservadministratör som känner till samma rutin och vet var backup-koderna finns, så att företaget inte står utan åtkomst om huvudansvarig är otillgänglig eller slutar. IMY pekar särskilt på att delade adminkonton gör det svårare att veta vem som gjort vad, vilket i sin tur försvårar en incidentutredning om något ändå går snett. Ge därför hellre varje medarbetare ett eget konto med egen tvåfaktor än att dela på ett gemensamt.

När inloggningar och lösenord ändå behöver delas mellan flera i teamet, till exempel till en gemensam adminpanel eller ett CMS-konto som inte stödjer flera användare, är det här en lösenordshanterare med stöd för säker delning gör nytta. Vill ni jämföra fler alternativ innan ni väljer verktyg finns en bredare guide till lösenordshantering för företag på systersajten cronaweb.com. NordPass är ett exempel på ett verktyg som riktar sig till team och som har inbyggt stöd för både lösenordshälsa, dataintrångsskanning och passkeys, vilket gör att tvåfaktor och delade inloggningar kan hanteras på samma ställe snarare än i ett separat dokument. Om teamet redan har vuxit ur en enkel lösning, eller om ni är osäkra på hur en specifik tjänst hanterar tvåfaktor och återställning, är det värt att kontakta leverantörens support direkt i stället för att gissa er fram – särskilt för konton som styr domän, e-post eller betalningar.

Aktivera aldrig tvåfaktor på ett konto utan att först ha sparat backup-koderna på ett säkert ställe som minst två personer i teamet kan nå. Annars riskerar ni att låsa ut er själva om enheten med koderna tappas bort eller går sönder.

Vanliga frågor

Räcker SMS-kod som tvåfaktor, eller behövs en app?

SMS är bättre än ingen tvåfaktor alls, men en autentiseringsapp, säkerhetsnyckel eller passkey är säkrare eftersom SMS-koder kan avlyssnas eller omdirigeras vid ett så kallat sim-swap-bedrägeri. Använd app, säkerhetsnyckel eller passkey på konton med hög behörighet där tjänsten stödjer det, och acceptera SMS bara som lägsta nivå på övriga konton.

Vad gör vi om vi tappar bort enheten med tvåfaktorskoderna?

Det är därför backup-koder ska sparas säkert, till exempel i en lösenordshanterare, innan de behövs. Testa återställningsflödet i förväg så att ingen behöver låsas ute i en akut situation, i linje med NCSC:s rekommendation om testad återställning.

Måste alla i teamet ha egen tvåfaktor, eller räcker det med huvudkontot?

Alla konton med administratörsbehörighet bör ha egen inloggning och egen tvåfaktor. Delade generiska konton gör det svårare att se vem som gjort en ändring om något går fel, vilket försvårar en incidentutredning.

Var ska vi börja om vi bara hinner med en sak i veckan?

Börja med e-postkontot, eftersom det oftast är vägen in för att återställa lösenord till andra tjänster. Fortsätt därefter med adminpanelen för webbplatsen och domänkontot hos leverantören.

Annonslänkar: Cronaweb kan få provision om du går vidare via länkarna på sidan.