Små företag slarvar med tvåfaktorsautentisering
Publicerad: 2025-05-05
Senast ändrad: 2025-05-07
En ny undersökning från SSF Stöldskyddsföreningen visar att små företag med upp till 49 anställda slarvar med tvåfaktorsautentisering. På frågan om företagen använder tvåfaktorsautentisering var det enbart 53 procent som svarade ja. Den låga andelen är anmärkningsvärd eftersom tvåfaktorsautentisering är en av de enklaste åtgärderna som företag kan ta till för att stärka cybersäkerheten.
Tvåfaktorsautentisering skyddar vid lösenordsläckor
En av de största fördelarna med tvåfaktorsautentisering är att det skyddar medarbetarnas konton vid lösenordsläckor. Varje vecka inträffar dataintrång där stora webbplatser råkar läcka databaser med användares uppgifter. Dessa läckor innehåller ofta användarnas lösenord.
I och med att användare tenderar att återanvända lösenord mellan flera webbplatser kan sådana dataläckor få ödesdigra konsekvenser. Utan tvåfaktorsautentisering leder läckta lösenord till att angripare kan logga in på alla webbplatser där de drabbade användarna har återanvänt sina lösenord.
Tvåfaktorsautentisering skyddar mot sådana konsekvenser. Med tvåfaktorsautentisering räcker det inte att angriparen kommer över det rätta lösenordet för att kunna logga in. Angriparen måste också ha den för stunden giltiga engångskoden, vilken sällan läcker på samma sätt som lösenord.
Tips! Använd Säkerhetskollens testverktyg för att undersöka om din mejladress förekommer i kända lösenordsläckor.
Tvåfaktorsautentisering skyddar mot många nätfiskeattacker
Tvåfaktorsautentisering skyddar också mot många nätfiskeattacker. Angripare kan sätta upp bedrägliga inloggningssidor som ser likadana ut som inloggningssidorna till populära molntjänster. Om en medarbetare luras att logga via en sådan bedräglig inloggningssida skickas medarbetarens lösenord till angriparna.
Tvåfaktorsautentisering kan i sådana situationer rädda medarbetaren från att få sitt konto kapat. Klassiska nätfiskeverktyg är konstruerade för att enbart stjäla lösenord, inte engångskoder, för tvåfaktorsautentisering. Engångskoderna är tidsbegränsade och gäller vanligtvis bara i mellan 30 och 90 sekunder.
Tyvärr har de mer sofistikerade nätfiskeverktygen fått stöd för att kapa konton som skyddas med tvåfaktorsautentisering. Se exempelvis vår artikel ”Nya nätfiskeattacker kringgår tvåfaktorsautentisering ”. Därför är det lämpligt att välja så kallade nätfiskeresistenta inloggningsmetoder på webbplatser där möjligheten finns. Läs mer om detta i vår medarbetarguide ”Byt lösenord mot säkra lösennycklar ”.
Med det sagt är det alltid bättre med någon form av tvåfaktorsautentisering än ingen tvåfaktorsautentisering alls.
Öka användningen av tvåfaktorsautentisering
Det kan finnas flera förklaringar till att så många företag slarvar tvåfaktorsautentiseringen. En rimlig förklaring är kompetensbrist. SSF:s undersökning visar att det på 43 procent av arbetsplatserna råder ingen eller inte särskilt hög kännedom om digital säkerhet. Om medarbetarna inte vet varför tvåfaktorsautentisering är viktigt förstår de inte heller varför de måste aktivera det.
Om problemet grundas i kompetensbrist kan det åtgärdas genom utbildningsinsatser.Många företagsanpassade webbtjänster kan också konfigureras så att medarbetarna måste aktivera tvåfaktorsautentisering vid nästa inloggning, vilket minimerar risken för att någon medarbetare glömmer att aktivera skyddet.
Vissa tjänster stödjer inte tvåfaktorsautentisering
Den låga användningen av tvåfaktorsautentisering kan också ha en annan förklaring. Det finns fortfarande webbtjänster som saknas stöd för tvåfaktorsautentisering. Exempelvis stödjer många äldre mejltjänster bara inloggning med användarnamn och lösenord. Sådana mejltjänster bör bytas ut i och med att medarbetarnas mejlkonton är deras allra mest skyddsvärda konton.
Överraskande nog saknar också Wordpress, världens största system för webbpublicering, stöd för tvåfaktorsautentisering. Lyckligtvis går det att åtgärda genom att installera ett kostnadsfritt tillägg för tvåfaktorsautentisering.
Alla företag gör klokt i att se över vilka webbtjänster som de använder samt huruvida medarbetarna kan aktivera och faktiskt har aktiverat tvåfaktorsautentisering. Webbtjänster som saknar stöd för tvåfaktorsautentisering bör bytas ut eller skyddas på annat vis, till exempel med ip-adressbegränsning, så att det enbart går att logga in från företagets nätverk.
Ladda ned rapporten
Mer information om små företags syn på cybersäkerhet finns i SSF:s kostnadsfria rapport . Denna artikel är den första delen i en serie om fem artiklar som analyserar resultatet och rekommenderar lämpliga åtgärder.
- Små företag slarvar med tvåfaktorsautentisering (del 1)
- Små företag är oroliga för att dokument försvinner (del 2)
- Även små företag drabbas av utpressningstrojaner (del 3)
- Nätfiskeattacker fortsätter att plåga små företag (del 4, kommande)
- Små företag är dåligt rustade mot cyberattacker (del 5, kommande)