Datatilsynet ser desværre stadig ofte, at brud på persondatasikkerheden kunne være undgået, hvis der var etableret en form for multifaktorautentifikation (MFA). MFA kan nemlig være med til at sikre, at uvedkommende ikke kan opnå adgang til internetvendte systemer kun ved brug af brugernavn og password, som det f.eks. ofte er tilfældet i ”brute force-angreb”. Det er bl.a. også derfor, at MFA optræder som et fast sikkerhedstiltag i mange sikkerhedsstandarder og direktiver.
Man skal derfor altid nøje overveje, om det er nødvendigt at etablere en form for MFA, eksempelvis ”One-time passwords” (OTP), ”Time-based one-time password” (TOTP), autentifikationsapplikationer og/eller biometrigodkendelse.
Hvis man har etableret MFA, er det selvfølgelig også vigtigt, at man holder øje med, om den er opsat korrekt og virker efter hensigten. Datatilsynet ser nemlig også mange brud, hvor MFA ikke er aktiveret eller implementeret korrekt, eller hvor MFA af en eller anden årsag er blevet deaktiveret. Derfor skal opsætningen af MFA gennemgås og kontrolleres i intervaller – f.eks. i forbindelse med gennemførelse af en organisations årshjul eller ved periodiske kontroller – så det bl.a. sikres, at MFA er slået korrekt til alle de steder, hvor det er nødvendigt.
Som medarbejder skal man i øvrigt huske aldrig at godkende MFA anmodninger, som man ikke selv har initieret.
Du kan læse mere om MFA i Datatilsynets foranstaltningskatalog her.